EuGH zu Schrems II: EU/US-Privacy Shield ist unwirksam – Was Unternehmen jetzt wissen müssen

Hinweis: Seit dem 10. Juli 2023 existiert ein Nachfolger für das “Privacy Shield”, namens “Trans-Atlantic Data Privacy Framework (TADPF)”. Damit ist dieser Beitrag zwar insoweit überholt, könnte aber inhaltlich wieder aktuell werden. Ob Sie sich auf das TADPF als sichere Rechtsgrundlage für den Einsatz von US-Anbietern, wie Google, Facebook, Amazon, etc. verlassen können, erfahren Sie in unserem Beitrag: Trans-Atlantic Data Privacy Framework (TADPF) – Einsatz von US-Dienstleistern nun DSGVO-sicher?

Der EuGH hat mit dem “Privacy-Shield” die Hauptgrundlage für Datentransfers zwischen der EU und den USA für unwirksam erklärt (EuGH, 16.7.2020 – C-311/18 “Schrems II”, Pressemitteilung). Damit hat der Datenschutzaktivist Max Schrems in seinem Verfahren gegen Facebook einen fulminanten Sieg errungen.

Zugleich erklärt das Urteil das Gros des Datenverkehrs zwischen den USA und der EU für unwirksam. Praktisch betrachtet dürfen damit die meisten US-Dienstleister nicht eingesetzt werden. Auch Anbieter wie Google oder Facebook, stehen nun vor einem großen Problem, wenn Sie Daten der EU-Bürger in den USA verarbeiten wollen.

In dem folgenden Beitrag erfahren Sie, was das Urteil bedeutet und wie Sie jetzt am besten verfahren sollten. Dazu ist es notwendig, dass Sie die Grundlagen der Datenverarbeitung außerhalb der EU kennen.

Update 01.09.2020: Bitte beachten Sie auch unsere Ratschläge für die Praxis: “Keine Angst vor US-Datentransfers ohne Privacy Shield – Muster, Ratschläge und Checkliste für Standardvertragsklauseln“.

Verbot der Datenverarbeitung außerhalb der EU

Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, wenn in den so genannten “Drittländern” kein angemessenes Datenschutzniveau herrscht (Art. 44 bis 49 DSGVO). Zu diesen Drittländern gehören vor allem die USA.

Dass ein angemessenes Datenschutzniveau vorliegt, konnte bisher vor allem in den folgenden Fällen angenommen und geprüft werden:

  • EU-Kommission hat ein angemessenes Datenschutzniveau festgestellt – derartige Angemessenheitsbeschlüsse existieren z. B. für die Schweiz, Neuseeland, Andorra, Argentinien, die Färöer Inseln, Guernsey, Japan und im Wesentlichen für Kanada und Israel (dagegen nicht für die USA)
  • Privacy-Shield-Zertifikat – Ein angemessenes Datenschutzniveau hatte die EU-Kommission bisher auch für die USA festgestellt. Voraussetzung war, dass US-Unternehmen sich verpflichteten auf Grundlage des so genannten EU-USA-Privacy-Shields das EU-Recht zu beachten. Das Privacy-Shield hat der EuGH jedoch für unwirksam erklärt.
  • Abschluss sog. „Standard Contractual Clauses (SCC)” – Diese vorgefertigten und als Standardschutz- / bzw. Standardvertragsklauseln bezeichneten Vertragsvorlagen verpflichten den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus (Standardschutzklauseln sind häufig mit Auftragsverarbeitungsverträgen verbunden). Allerdings erlauben sie Datentransfers nur, wenn das Datenschutzniveau tatsächlich gewahrt wird.
  • Binding Corporate Rules – Unternehmen können sich auch selbst gegebene und verbindliche Datenschutzregeln geben. Diese Alternative ist eher selten, zumal auch eine externe Zertifizierung oder eigene Prüfung erforderlich wäre, um auf deren Grundlage Daten in Drittländer zu transferieren (das Ergebnis dürfte ähnlich wie bei Standardschutzklauseln ausfallen).
  • Erforderliche Datentransfers – Wenn die Übermittlung oder sonstige Verarbeitung der Daten in Drittländern erforderlich und für die Betroffenen erkennbar ist, darf die Übermittlung erfolgen (z. B. wenn eine Reise in den USA gebucht oder eine E-Mail in die USA verschickt wird).
  • Einwilligungen – Als letzte Möglichkeit bleiben praktisch nur die Einwilligungen der betroffenen Personen. Diese sind jedoch zum einen umständlich und können schnell an fehlender Transparenz, ausdrücklicher Abgabe oder an fehlender Freiwilligkeit (z. B. bei Arbeitnehmern, Art. 26 DSGVO) oder fehlender Einwilligungsfähigkeit (in Deutschland ab 16 Jahren, in Österreich ab 14, s. Art. 8 Abs. 3 DSGVO) scheitern.
  • Weitere Ausnahmen – Weitere Ausnahmen können Sie Art. 49 DSGVO entnehmen (die zwar in Frage, aber nur unter strengen Voraussetzungen kommen könnten).

Für europäische Unternehmen ist vor allem die Verarbeitung von Daten in den USA relevant. Ob die Verarbeitung durch Facebook, Microsoft, Google oder Facebook erfolgt – die Zulässigkeit der Verarbeitung von Daten in den USA, hängt vor allem vom Privacy-Shield und den Standardschutzklauseln ab. Die anderen Erlaubnisgrundlagen spielen eine untergeordnete Rolle.

Die aktuelle Entscheidung des EuGH führt jedoch dazu, dass diese beiden Rechtsgrundlagen praktisch wegfallen (bzw. nur ein kleiner Handlungsspielraum bleibt).

Kein Datenschutz für EU-Bürger in den USA

Das Privacy Shield und die Standardschutzklauseln wären nur dann als Grundlage für Datentransfers in die USA zulässig, wenn ein wirksames Datenschutzniveau gewährleistet wäre. Der EuGH entschied, dass das nicht der Fall ist:

US-Behörden stehen Prüfungsrechte zu, ohne dass EU-Bürger sich dagegen wehren können. In dem entschiedenen Verfahren berief sich Schrems z. B. auf Section 702 des Foreign Intelligence Surveillance Acts (FISA 702), der Datenzugriffe bei elektronischen Kommunikationsdiensten bei Nicht-US-Bürgern auch ohne einen gerichtlichen Beschluss und Rechtsschutz erlaubt.

Nach Ansicht des EuGH liegen die Voraussetzungen des Privacy-Shield nicht mehr vor. Vielmehr verstößt die EU-Kommission gegen den Kern der Grundrechte der EU-Bürger auf Privatleben, Datenschutz und auf einen wirksamen Rechtsbehelf, wenn sie trotz FISA 702 und anderer Zugriffsrechte der US-Behörden Datentransfers in die USA zulässt.

Was bedeutet die Entscheidung für die Praxis?

Für die Praxis bedeutet die Entscheidung erneut ein Rechtsvakuum, in dem Unternehmen politisch alleine gelassen werden:

  1. Bei US-Anbietern nach EU-Servern fragen– Viele Anbieter, wie z. B. Amazon Web Services (AWS) oder Microsoft bieten die Möglichkeit an, dass Daten auf EU-Servern gespeichert werden (auch hier bestehen Rechtsunsicherheiten, aber angesichts derzeitiger Lage ist diese Lösung eine hinreichend sichere Option).
  2. Keine US-Dienstleister einsetzen: Keine Dienstleister einsetzen, die Daten in den USA verarbeiten (d. h. bei US-Unternehmen nach EU-Servern fragen). Zumindest sollten Sie Evaluationsprozesse anstoßen, um im Fall der Fälle zumindest nachweisen zu können, dass Sie sich um Alternativen bemüht haben (mache Anbieter, wie z. B. der Versanddienstleister Mailchimp, boten auch bisher zusätzlich zum Privacy Shield Standardschutzklauseln an).
  3. Keine Dienstleister mit US-Subunternehmern einsetzen: Keine Dienstleister einsetzen, deren Subunternehmer die Daten in den USA verarbeiten.
  4. Verträge und Datenschutzhinweise anpassen: Verträge und Datenschutzerklärungen anpassen und Hinweise auf das Privacy-Shield entfernen.

Alternativ können Sie, wenn auch mit einem Risiko, erst einmal abwarten, wie die EU-Kommission und die Datenschutzbehörden reagieren werden.

Standardvertragsklauseln als Lösung?

Als eine Möglichkeit der Risikominderung bietet sich der Abschluss von Standardvertragsklauseln an:

  • Standardvertragsklauseln abschließen oder deren Vorliegen prüfen: Falls Sie abwarten möchten oder nicht alle Dienstleister sofort auswechseln können, dann sollten Sie US-Dienstleister und Dienstleister mit US-Subunternehmern nach dem Abschluss von Standardvertragsklauseln fragen.
  • Formelle Geltung der Standardvertragsklauseln: Bei US-Unternehmen die Standardvertragsklauseln anbieten, können Sie sich darauf berufen, dass die konkret vereinbarten Standardvertragsklauseln noch in Kraft sind, bis ein Gericht sie für unwirksam erklärt. Allerdings sagte der EuGH, dass Standardvertragsklauseln nur dann als Rechtsgrundlage für Datentransfers in Drittländer dienen können, wenn das Datenschutzniveau auch tatsächlich gewahrt wird. Da der EuGH das Datenschutzniveau in den USA im Fall des Privacy-Shields für unzureichend hielt, erteilte er den Datentransfers auf Grundlage der Standardvertragsklauseln mittelbar ebenfalls eine Absage. Denn egal ob Privacy Shield oder Vertragsklauseln, das Datenschutzniveau wird im Zweifel dasselbe sein.
  • Schlechte Aussichten vor Gericht: Sollte also eine Datenschutzbehörde gegen Ihre Datentransfers in die USA vorgehen oder Nutzer sie zu deren Beendigung auffordern, werden Ihre Chancen vor Gericht, zumindest ausgehend von dem EuGH-Urteil, trotz Standardvertragsklauseln eher schlecht stehen (wobei der EuGH es zumindest anklingen lässt, dass man die Standardvertragsklauseln um zusätzliche Sicherheitsvereinbarungen anpassen kann – allerdings wird auch das schwer gelingen, wenn die USA den EU-Bürgern weiterhin den Datenschutz versagen).

Im Ergebnis ist die Lösung über Standardvertragsklauseln weder perfekt noch sicher. Dennoch ist es rechtlich sicherer, wenn die Standardvertragsklauseln abgeschlossen wurden und aufgehoben werden können, als wenn gar keine Standardvertragsklauseln vorliegen. Zudem können Sie deren “Datenschutz-Festigkeit” überprüfen.

Standardvertragsklauseln im Einzelfall prüfen

Der EuGH hat gesagt, dass Standardvertragsklauseln im Einzelfall geprüft werden müssen. Wenn Sie das Risiko also weiter senken möchten, dann sollten Sie Ihre US-Dienstleister datenschutzrechtlich überprüfen.

Dazu empfehle ich diesen vorbereiteten Fragenkatalog (Link direkt zum Word-Dokument) an Ihre Dienstleister zu versenden.

  • Positiver Aspekt: Wenn die Fragen positiv beantwortet werden, dann können Sie nachweisen, zumindest aktiv auf die Unwirksamkeit des Privacy-Shields reagiert zu haben.
  • Häufig negatives Ergebnis: Zumindest bei den meisten Onlinediensten wird das Ergebnis der Prüfung eher negativ ausfallen. Denn Anbieter von elektronischen Kommunikationen, wie z. B. Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google oder Microsoft, müssen Geheimdiensten einen Zugriff auf Daten der Nutzer erlauben.

Im Ergebnis werden sehr wahrscheinlich viele US-Unternehmen nicht sofort antworten oder ausweichende Antworten geben. Ob Sie die in dem Fragenkatalog vorbereitete Androhung der Kündigung umsetzen oder erst einmal abwarten, ist eine Frage der Risiko-Einschätzung.

Eine weitere Möglichkeit der Risikominderung ist eine Einwilligung in den Datentransfer in die USA.

Einwilligung im Cookie-Banner als Lösung?

Laut Art. 49 Abs. 1 S. 1 lit. a DSGVO können personenbezogene Daten in ein Drittland auch im Fall eines unsicheren Datenschutzniveaus verarbeitet werden. Voraussetzung ist jedoch, dass die einwilligende Person (Hervorhebung vom Verfasser),

über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde

  • In einem Cookie-Banner theoretisch umsetzbar: Eine solche Einwilligung ist auch in einem Cookie-Opt-In-Banner vorstellbar und wird von mir in dem auf dieser Website verwendetem Cookie-Opt-In-Banner getestet (s. folgendes Bildbeispiel).
  • Wirksamkeit wird angezweifelt: Allerdings gilt auch in diesem Fall das Problem des fehlenden Datenschutzniveaus. Der EuGH meinte, dass durch die Gesetze der USA der Kernbereich der Grundrechte der EU-Bürger verletzt wird. Ob in einem solchen Fall ein EU-Bürger überhaupt einwilligen, also auf seine Grundrechte auf Privatleben, Datenschutz und auf einen wirksamen Rechtsbehelf verzichten kann, kann durchaus angezweifelt werden.
Beispiel einer Einwilligung in die Verarbeitung in den USA im Cookie-Opt-In-Banner des Datenschutzgenerators. Sie können das Beispiel gerne verwenden oder gar um weitere Risiken ergänzen. Passen Sie in dem Fall bitte die Liste der Unternehmen (Google, Facebook, etc. entsprechend den von Ihnen auf der Webseite verwendeten Dienstleistern an). Ob diese Einwilligung letztendlich wirksam ist, kann derzeit leider nicht abschließend beantwortet werden. Angesichts der abschreckenden Wirkung, werden sich viele Unternehmen sicherlich die Frage stellen, ob sie derartige Warnhinweise aufnehmen oder vorerst doch die weitere Entwicklung abwarten.
Beispiel einer Einwilligung in die Verarbeitung in den USA im Cookie-Opt-In-Banner des Datenschutzgenerators. Sie können das Beispiel gerne verwenden oder gar um weitere Risiken ergänzen. Passen Sie in dem Fall bitte die Liste der Unternehmen (Google, Facebook, etc. entsprechend den von Ihnen auf der Webseite verwendeten Dienstleistern an). Ob diese Einwilligung letztendlich wirksam ist, kann derzeit leider nicht abschließend beantwortet werden. Angesichts der abschreckenden Wirkung, werden sich viele Unternehmen sicherlich die Frage stellen, ob sie derartige Warnhinweise aufnehmen oder vorerst doch die weitere Entwicklung abwarten.

Am Ende gilt bei einer Einwilligung, dasselbe wie bei den Standardvertragsklauseln – es sind Maßnahmen, die der Risikominderung dienen, aber keine Sicherheit bieten können. Es bleibt also dabei, Datenschutz ist ein Spiel auf Zeit.

Vorübergehend abwarten?

Die Situation ist insoweit nicht neu, als schon 2015 mit dem Safe-Harbor-Abkommen der Vorgänger des Privacy-Shields aufgehoben wurden (EuGH, 06.10.2015 – C-362/14 “Schrems I”). Auch damals gab es eine ca. sechs-monatige “Hänge-Phase”, bis die EU-Kommission mit dem “Privacy Shield” eine Lösung präsentiert hat. Wobei das Abwarten nicht ohne Risiko ist:

  • Politische Lage spricht gegen eine schnelle Lösung: Diesmal ist die politische Lage anders und von der derzeitigen US-Regierung eher weniger zu erwarten, dass sie sich kooperativ zeigen und EU-Bürgern einen höheren Rechtsschutz zugestehen wird.
  • Risiko seitens der Datenschutzbehörden und der Betroffenen: Das Risiko beim Abwarten besteht zudem darin, dass Sie von Datenschutzbehörden oder Kunden, Nutzern sowie anderen Betroffenen zur Einstellung von Datentransfers in die USA aufgefordert werden könnten.

Welche Rechtsfolgen drohen?

Die aktuelle Lage bringt leider auch das Risiko dieser Rechtsfolgen mit sich:

  • Maßnahmen von Datenschutzaufsichtsbehörden: Ist die Übermittlung in die USA unzulässig, können Aufsichtsbehörden Unterlassung des Einsatzes von Diensten und Dienstleistern verlangen oder sogar Bußgelder (bis 4% des Umsatzes eines Unternehmens) verhängen. Allerdings gehe ich davon aus, dass die Behörden aufgrund derzeitiger Lage zumindest zunächst zurückhaltend reagieren werden.
  • Abmahnungen von Betroffenen: Ferner können Nutzer, Kunden oder andere betroffene Dateninhaber Sie abmahnen und Schadensersatz verlangen (auch wenn dies bis dato eher selten vorkommt und die Gerichte beim Schadensersatz sehr zurückhaltend sind). Die Kosten der Abmahnung lägen erfahrungsgemäß bei ca. 500 – 1.500 Euro und bei erneutem Verstoß, also erneutem unerlaubten Datentransfer bei ca. 2.500 – 5.000 Euro).
  • Abmahnungen von Mitbewerbern und Verbraucherschutzorganisationen: Ob das Wettbewerbsrecht eine Rechtsgrundlage für die Abmahnung von Datenschutzverstößen ist, muss der EuGH noch klären. Daher war das Risiko von dieser Seite bisher eher gering, ist aber nicht auszuschließen.

Um die Folgen zu mindern sollten Sie daher Maßnahmen ergreifen, auch wenn sie nicht perfekt sein sollten.

Fazit und Praxishinweise

Zusammenfassend kann festgestellt werden, dass das Urteil des EuGH zu großer Unsicherheit fühlt und nunmehr die Politik am Zug ist.

Frei nach dem Motto “too big to fail” ist nun abzuwarten, ob ein erneutes Abkommen (sei es ein “Privacy-Shield revisited“, “Safe Harbor rebooted” oder noch anders bezeichnet) abgeschlossen wird und welche Handlungsoptionen sich auf dieser Grundlage ergeben werden.

Bis dahin stehen Ihnen die folgenden Optionen zur Verfügung:

  • Bei US-Anbietern auf EU-Server ausweichen – Sofern angeboten, wählen Sie die Verarbeitung auf EU-Servern (z. B. AWS, Microsoft).
  • Keine US-Dienstleister einsetzen – Die sicherste Variante wäre keine (US)Dienstleister einzusetzen die selbst oder über deren Dienstleister personenbezogene Daten in die USA übermitteln. Zumindest sollten Sie in diese Richtung Evaluationsprozesse starten (also nachweislich Alternativen in Betracht ziehen und deren Einsatz erwägen/prüfen).
  • Abwarten, nach Standardvertragsklauseln fragen und diese prüfen – Alternativ können Sie ein gewisses Risiko eingehen, die politische Entwicklung abwarten, sollten aber Dienstleister nach Standardvertragsklauseln für US-Datentransfers und deren Sicherheit im Einzelfall fragen (auch wenn die Wirksamkeit der Klauseln sehr zweifelhaft ist, ist diese Maßnahme zumindest potentiell risikomindernd).
  • Wenn möglich Einwilligungen der Nutzer einholen -Wobei die Nutzer transparent auf den Einsatz von US-Dienstleistern und die Risiken hingewiesen werden müssen (man kann auch an eine Einwilligung in den Cookie-Hinweisen denken).
  • Verträge und Datenschutzerklärungen anpassen – Entfernen Sie die Hinweise auf das Privacy-Shield (in unserem Generator werden die Datenschutzhinweise aktuell ohne den Hinweis erstellt).

Darüber hinaus gilt: Nicht verzagen, wir haben eine ähnliche Lage 2015 überstanden. Der wirtschaftliche Schaden für US- und EU-Unternehmen dürfte immens und damit der Druck auf die Politik eine Lösung zu finden sehr hoch sein.

Update: Google führt Standardvertragsklauseln ein

Nachdem der Europäische Gerichtshof den Privacy Shield für unwirksam erklärt hat, benötigt auch Google eine neue Rechtsgrundlage, um personenbezogene Daten zwischen der EU und den USA zu transferieren.

Google scheint zudem zusätzlich zu den Standardvertragsklauseln, die Datentransfers zu verschlüsseln (Anhang 2 1. (b) ) sowie die Verarbeitung von Daten in die EU auszulagern. Ob dadurch das Datenschutzniveau ausreichend wird, kann durchaus kritisch hinterfragt werden (da das US-Recht auch den Zugriff auf EU-Server von US-Unternehmen erlaubt). Jedoch sind es immerhin Maßnahmen, die man zur Rechtfertigung der Weiternutzung von Google heranziehen kann.

Man könnte auch sagen, dass Google mehr nicht unternehmen kann. Denn richtet man sich streng nach dem EuGH, dann müssten die USA ihre Sicherheitsgesetze ändern, damit Transfers von personenbezogenen Daten zwischen der EU und den USA wieder sicher werden.

Allerdings, bis eine politische Lösung für die EU-US-Datentransfers gefunden ist, sollten Sie die Standardvertragsklauseln und die geänderten AGB von Google akzeptieren (entweder stillschweigend oder falls Sie in der E-Mail dazu aufgefordert werden, ausdrücklich per Klick). Bitte speichern Sie die Rechtstexte ab und protokollieren für Ihre Unterlagen, wann Sie sie akzeptiert haben.

Ansonsten bleibt abzuwarten, wie die Entwicklung beim Nachfolger des Pivacy Shield voranschreitet.

Aktualisierte Dokumente und Inhalte

Updates

Hinweis zu unserem Generator für Datenschutzerklärungen

Wir haben aktuell keine Verweise auf das Privacy-Shield in unserem Generator für DSGVO-Datenschutzerklärungen , d. h. alle neu generierten Datenschutzerklärungen werden keinen Passus mehr zum Privacy Shield enthalten.

Wenn Sie Ihre Datenschutzerklärung kostenlos generiert haben, können Sie diese Version auch kostenlos updaten (sofern Sie die Umsatzgrenze nicht überschreiten).

Für Premium-Kunden gilt: Wenn Sie Ihre gespeicherten Eingaben im Datenschutz-Generator laden und Ihre Datenschutzerklärung neu generieren lassen, werden die Hinweise auf das Privacy-Shield in der neu generierten Datenschutzerklärung entfernt. Das Update ist kostenlos, sofern Sie die Lizenz innerhalb von 6 Monaten erworben haben. Für alle anderen bieten wir bis zum 31 Juli einen Rabatt von 50% auf Update Lizenzen.

Wenn Sie ein gemeinnütziges Unternehmen sind, oder derzeit aufgrund der Situation finanzielle Probleme haben, schreiben Sie uns bitte mit einer kurzen Begründung/ Nachweis und wir prüfen eine kostenlose Verlängerung der Lizenz


Kommentare

  1. Guten Tag. Danke für die Info

    Wie genau kann ich das Update kostenlos vornehmen?

    besten Dank!

    Wenn Sie Ihre gespeicherten Eingaben im Datenschutz-Generator laden und Ihre Datenschutzerklärung neu generieren lassen, werden die Hinweise auf das Privacy-Shield in der neu generierten Datenschutzerklärung entfernt. Das Update ist kostenlos, sofern Sie die Lizenz innerhalb von 6 Monaten erworben haben. Für alle anderen bieten wir bis zum 31 Juli einen Rabatt von 50% auf Update Lizenzen.

  2. Ich frage mich, was das jetzt für Google Analytics und AdSense heißt. Auch, weil die Nutzer der Cookiesetzung ja zustimmen müssen.

    1. Tja, da ich davon ausgehe, dass Google die Daten in die USA transferiert, sind die Dienste auch betroffen. Woran man hier denken könnte, wäre schon im Cookiebanner eine Einwilligung für den Transfer in die USA miteinzuholen. D.h. sinngemäß zu schreiben: “Ihre Daten werden durch die Anbieter Google, Facebook, […] in den USA verarbeitet, was mit entsprechenden Risiken, z. B. eines heimlichen Datenzugriffs durch US-Behörden verbunden ist. Mit Ihrer Einwilligung erklären Sie sich auch mit der Verarbeitung Ihrer Daten in den USA einverstanden.

      1. Geht das quasi in einem Abwasch, oder gibt es eine implizite/explizite Pflicht, beide Einwilligungen (optisch/inhaltlich) voneinander zu trennen?

      2. M.E. geht es in einem Abwasch, wenn es transparent ist. Ob die Datenschutzbehörden es auch so sehe, ist eine andere Frage (wobei ich das Risiko an der Stelle für vertretbar halte).

  3. Darf ich jetzt noch meine Facebook-Unternehmensseite behalten?
    (Auf meiner eigenen Seite sind keine Plugins oder dergleichen dazu enthalten. Ich habe die Facebook-Unternehmensseite nur zusätzlich.)

  4. Herzlichen Dank für Ihren Einsatz und Ihre Mühe Herr Dr Schwenke!
    Sie sind vor allem den “Keinen” eine große Hilfe.

  5. Ich nutze GitHub für die Updates meiner eigenen WordPress-Plugins (Free Account).
    Der GitHub Updater lädt automatisch neue Dateien für die Nutzer meiner Plugins herunter. Damit erhält GitHub vermutlich Kenntnis von der jeweiligen Domain, IP-Adresse usw.
    Besteht in diesem Fall Handlungsbedarf, dass ich also alle Nutzer meiner Plugins auf die neue Rechtslage hinweisen müsste?
    Von GitHub würde ich ungern weggehen.

  6. Vielen Dank für Ihren Beitrag.

    Wie steht es um Googles G-Suite bei der man, zumindest in den beiden größeren Tarifen, als Datenspeicherort ja die “Europäische Union” auswählen kann?

  7. Hallo Herr Dr. Schwenke!
    Erstmal einen großen Dank für Ihren Newsletter! Ich hätte zu dieser Sache noch eine kurze Frage:
    Ich hole ab jetzt die Einwilligung zur Speicherung der Daten in den USA vor dem Abonnieren eines Mailchimp-Newsletters ein. Was ist aber mit den bereits vorhandenen Abonnenten? Muss ich diese darüber nachträglich informieren?

  8. Sind diese Standardvertragsklauseln gleich den AVV oder ist das nochmal was anderes? Weil eine AVV hat doch eigentlich fast jede Firma, war das nicht sogar Pflicht?

    Vielen Dank für den sehr guten Artikel.

  9. Hallo Herr Dr. Schwenke,

    vielen Dank für Ihre klar verständlichen Worte und die sehr guten Zusammenfassungen. Bei jeden neuen Entscheidungen warte ich erstmal auf Ihre Einschätzung und bin dankbar, dass diese so zeitnah erfolgen..😊

    Grüße

    Cornelia

  10. Was bedeutet das denn jetzt ganz konkret, wenn ich Webseiten für meine Kunden auf Servern in den USA hosten lasse (z. B. weil ich sie mit Squarespace oder ähnlichen Angeboten aufbaue)? Die Platzierung von generellen Aussagen zum Portfolio der Kunden etc. dürfte doch keine Persönlichkeitsrechte verletzen, oder? Anders ist es wahrscheinlich bei der Integration von Kontaktformularen, da dann persönliche Daten über Server in den USA laufen würden. Dies könnte man ändern, indem man auf Kontaktformulare verzichtet und nur noch einen Button integriert, der per Klick das E-Mail-Programm öffnet (sofern die E-Mails in Deutschland gehostet werden). Und was ist mit der Nennung von Namen und Telefonnummern von Mitarbeitern auf der Webseite? Wäre das legal/unbedenklich, wenn die Mitarbeiter damit einverstanden sind, dass diese Daten auf einem amerikanischen Server gehostet werden?

    1. Ich kann innerhalb der Kommentare leider keine Einzelfallberatung leisten (da ich dazu den gesamten Sachverhalt kennen müsste). Aber auch IP-Adressen beim Websiteaufruf sind personenbezogene Daten und Einwilligungen von Mitarbeitern grundsätzlich unzulässig, weshalb man hier kaum aus der Problematik rauskommt.

  11. Lieber Thomas,

    das ist ein hervorragender Artikel: praxisgerecht, laienverständlich und pragmatisch. Danke dafür.
    Viele Grüße aus Köln
    Judith

  12. Lieber Dr. Schwenke,

    ich habe dazu eine Frage.

    Betrifft dies z. B. auch auf der Website eingebettete Videos, die auf YouTube gehostet werden?
    Bisher löste ich dies so, dass eine Art Opt-in-Plugin speziell für die Videos genutzt wird. Das heißt, bevor ein User eins meiner Videos in meinem Blog abspielt, erscheint folgender Text: “Bitte akzeptiere YouTube-Cookies, um dieses Video abzuspielen. Wenn du akzeptierst, greifst du auf Inhalte von YouTube zu, einem Dienst, der von einem externen Drittanbieter bereitgestellt wird.

    YouTube-Datenschutzrichtlinie (Link)

    Wenn du diesen Hinweis akzeptierst, wird deine Auswahl gespeichert und die Seite aktualisiert.”
    Und dann muss ein Button mit der Aufschrift “Akzeptiere YouTube Content” angeklickt werden. Erst danach wird das Video abgespielt.

    Kann ich diese Vorgehensweise nun so beibehalten oder muss ich noch etwas tun? (Ein Absatz zu YouTube ist natürlich in meiner Datenschutzerklärung enthalten.)

    Herzliche Grüße,
    Yvonne

  13. Sehr geehrter Herr Dr. Schwenke,
    erstmal vielen Dank für Ihre umgehende Befassung mit dem Urteil.
    Ich habe da aber noch eine Frage. Sie schreiben:
    “Viele Anbieter, wie z. B. Amazon Web Services (AWS) oder Microsoft bieten die Möglichkeit an, dass Daten auf EU-Servern gespeichert werden (auch hier bestehen Rechtsunsicherheiten, …).

    Meine Frage dazu: Wie ist eigentlich rechtlich der Sachverhalt zu sehen, wenn US-amerikanisches Service-Personal z. B. von AWS/MS im Rahmen von Servicetätigkeiten ggf. auch Zugriff auf pb. Daten auf den EU-Servern hat/haben kann?

    Gruß
    Michael

  14. Hallo Herr Dr. Schwenke,
    vielen Dank für Ihre Übersetzungen des Juristischen ins Deutsche! Ich werde dann gleich mal die DSE aktualisieren.
    Darf ich denn Mailchimp weiterhin nutzen oder sollte ich mich nach einer Alternative umsehen? Und muss man von bestehenden Abonennten ähnlich wie damals bei der DSGVO mit zusätzlichen Häkchen Einwilligungen einholen?
    (Und reicht es, wenn man da erstmal abwartet, bis MailChimp sich da was einfallen lässt?)
    Vielen Dank nochmal,
    Sonja

    1. MailChimp nutzt Standardvertragsklauseln und ist vom Wegfall des Privacy Shield nur indirekt betroffen. D.h. es ist m.E. vertretbar weiterhin MailChimp zu nutzen und die weitere Entwicklung ist abzuwarten. Allerdings, wenn Sie auf Nummer Sicher gehen wollen, dann sollten Sie zu einem EU-Dienst wechseln.

  15. Lieber Herr Dr Schwenke,

    an dieser Stelle ein Dankeschön für Ihre immer wieder sehr informativen Artikel zu datenschutzrechtlichen Themen, bzw Ihre Einschätzungen dazu.

    Liebe Grüsse aus Wien,
    Wolfgang

  16. D.h. eine Einbettung von YouTube, Google Maps, Google Analytics ist schon problematisch, weil die IP des Besuchers (personenbezogenes Datum) zur Auslieferung in die USA übertragen wird?

    Würde man Google Analytics vom eigenen Server laden (offiziell erlaubt) und statt deren Cookies eine eigene clientid anonymisiert gehasht vergeben, dürften an sich keine personenbezogenen Daten mehr an Google Analytics/ USA übertragen werden, so dass dies so zumindest weiterhin denkbar wäre.

  17. Sehr geehrter Herr Dr. Schwenke,

    ist aus alledem zu folgern, dass ab sofort Google Analytics zu deaktivieren ist und über mailchimp keine newsletter mehr zu versenden sind bis die Programme ausgetaucht worden sind?

    Gruß
    Frank

    1. Wenn man auf Nummer Ganz Sicher gehen will dann ja, ansonsten (wie die meisten) wartet man die Entwicklung ab. Darüber hinaus bietet Mailchimp auch Standardvertragsklauseln (die natürlich auch überprüft werden müssten). Für Analytics gibt es derzeit keine Standardvertragsklauseln.

  18. Vielen Dank für die praktischen Tipps!

    Ich würde gerne die Version mit dem Cookie-Banner von Borlabs testen. Kann ihr Beispieltext dort eingefügt werden? Wie stelle ich dann die korrekte Umsetzung sicher? Vielleicht haben Sie noch einen Tipp, wie ich mich darüber am besten informieren kann.

    Vielen Dank!

    Janina Germann

    1. Sie können gerne meinen Text nutzen (Hinweis: auf eigene Gefahr, da ich ohne Prüfung des konkreten Einsatzes hier keine Haftung übernehmen kann). Die korrekte Umsetzung kann letztendlich nur eine Fachperson prüfen, allerdings reichen die Hinweise in dem Beitrag hier m.E. aus.

  19. Hallo,
    besten Dank für den konstruktiven Beitrag, einer der wenigen Guten im ganzen Netz!

    Eine Frage habe ich wohl noch, sind wir erstmal safe wenn wir auf die SCC der US-Anbieter verweisen speziell Webex & Zoom?
    Bei Skype habe ich sowas nicht gefunden, ich weiß auch nicht, wo ich sagen kann, hey speicher die Daten doch bitte in der EU.
    Danke und VG
    Pascal

  20. Abgesehen von der USA-Problematik ist beim Abschluss von Standardvertragsklauseln auch zu beachten, dass diese nicht negativ abgewandelt werden dürfen. Genau das machen aber viele große Anbieter, weil sie z.B. Kontrollen (die ohnehin nach Art. 28 DSGVO möglich sein müssen) ausschließen. Beim Videokonferenzdienst-Test der Berliner Datenschutzbeauftragten (https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf) sind viele Anbieter (auch) daran gescheitert.

Fügen Sie einen Kommentar hinzu

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert