EuGH zu Schrems II: EU/US-Privacy Shield ist unwirksam – Was Unternehmen jetzt wissen müssen
Der EuGH hat mit dem “Privacy-Shield” die Hauptgrundlage für Datentransfers zwischen der EU und den USA für unwirksam erklärt (EuGH, 16.7.2020 – C-311/18 “Schrems II”, Pressemitteilung). Damit hat der Datenschutzaktivist Max Schrems in seinem Verfahren gegen Facebook einen fulminanten Sieg errungen.
Zugleich erklärt das Urteil das Gros des Datenverkehrs zwischen den USA und der EU für unwirksam. Praktisch betrachtet dürfen damit die meisten US-Dienstleister nicht eingesetzt werden. Auch Anbieter wie Google oder Facebook, stehen nun vor einem großen Problem, wenn Sie Daten der EU-Bürger in den USA verarbeiten wollen.
In dem folgenden Beitrag erfahren Sie, was das Urteil bedeutet und wie Sie jetzt am besten verfahren sollten. Dazu ist es notwendig, dass Sie die Grundlagen der Datenverarbeitung außerhalb der EU kennen.
Update 01.09.2020: Bitte beachten Sie auch unsere Ratschläge für die Praxis: “Keine Angst vor US-Datentransfers ohne Privacy Shield – Muster, Ratschläge und Checkliste für Standardvertragsklauseln“.
Geltung nur für personenbezogene Daten: Auch wenn verkürzend der Begriff “Daten” verwendet wird, geht es im Datenschutzrecht nur um personenbezogene Daten (Art. 4 Nr. 1 DSGVO). Wenn mithilfe der Daten einzelne Personen nicht identifizierbar sind, dann sind die Daten nicht personenbezogen. Gemeint sind damit vor allem Businessdaten oder Maschinendaten. Daten die sich (auch wenn mit einem gewissen Aufwand) zu konkreten Personen zurückverfolgen lassen sind in der Regel personenbezogen, auch wenn keine Klardaten wie Namen oder E-Mailadressen mitgespeichert werden.
Inhalt des Beitrags:
Verbot der Datenverarbeitung außerhalb der EU
Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, wenn in den so genannten “Drittländern” kein angemessenes Datenschutzniveau herrscht (Art. 44 bis 49 DSGVO). Zu diesen Drittländern gehören vor allem die USA.
Dass ein angemessenes Datenschutzniveau vorliegt, konnte bisher vor allem in den folgenden Fällen angenommen und geprüft werden:
- EU-Kommission hat ein angemessenes Datenschutzniveau festgestellt – derartige Angemessenheitsbeschlüsse existieren z. B. für die Schweiz, Neuseeland, Andorra, Argentinien, die Färöer Inseln, Guernsey, Japan und im Wesentlichen für Kanada und Israel (dagegen nicht für die USA)
- Privacy-Shield-Zertifikat – Ein angemessenes Datenschutzniveau hatte die EU-Kommission bisher auch für die USA festgestellt. Voraussetzung war, dass US-Unternehmen sich verpflichteten auf Grundlage des so genannten EU-USA-Privacy-Shields das EU-Recht zu beachten. Das Privacy-Shield hat der EuGH jedoch für unwirksam erklärt.
- Abschluss sog. „Standard Contractual Clauses (SCC)” – Diese vorgefertigten und als Standardschutz- / bzw. Standardvertragsklauseln bezeichneten Vertragsvorlagen verpflichten den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus (Standardschutzklauseln sind häufig mit Auftragsverarbeitungsverträgen verbunden). Allerdings erlauben sie Datentransfers nur, wenn das Datenschutzniveau tatsächlich gewahrt wird.
- Binding Corporate Rules – Unternehmen können sich auch selbst gegebene und verbindliche Datenschutzregeln geben. Diese Alternative ist eher selten, zumal auch eine externe Zertifizierung oder eigene Prüfung erforderlich wäre, um auf deren Grundlage Daten in Drittländer zu transferieren (das Ergebnis dürfte ähnlich wie bei Standardschutzklauseln ausfallen).
- Erforderliche Datentransfers – Wenn die Übermittlung oder sonstige Verarbeitung der Daten in Drittländern erforderlich und für die Betroffenen erkennbar ist, darf die Übermittlung erfolgen (z. B. wenn eine Reise in den USA gebucht oder eine E-Mail in die USA verschickt wird).
- Einwilligungen – Als letzte Möglichkeit bleiben praktisch nur die Einwilligungen der betroffenen Personen. Diese sind jedoch zum einen umständlich und können schnell an fehlender Transparenz, ausdrücklicher Abgabe oder an fehlender Freiwilligkeit (z. B. bei Arbeitnehmern, Art. 26 DSGVO) oder fehlender Einwilligungsfähigkeit (in Deutschland ab 16 Jahren, in Österreich ab 14, s. Art. 8 Abs. 3 DSGVO) scheitern.
- Weitere Ausnahmen – Weitere Ausnahmen können Sie Art. 49 DSGVO entnehmen (die zwar in Frage, aber nur unter strengen Voraussetzungen kommen könnten).
Für europäische Unternehmen ist vor allem die Verarbeitung von Daten in den USA relevant. Ob die Verarbeitung durch Facebook, Microsoft, Google oder Facebook erfolgt – die Zulässigkeit der Verarbeitung von Daten in den USA, hängt vor allem vom Privacy-Shield und den Standardschutzklauseln ab. Die anderen Erlaubnisgrundlagen spielen eine untergeordnete Rolle.
Die aktuelle Entscheidung des EuGH führt jedoch dazu, dass diese beiden Rechtsgrundlagen praktisch wegfallen (bzw. nur ein kleiner Handlungsspielraum bleibt).
Kein Datenschutz für EU-Bürger in den USA
Das Privacy Shield und die Standardschutzklauseln wären nur dann als Grundlage für Datentransfers in die USA zulässig, wenn ein wirksames Datenschutzniveau gewährleistet wäre. Der EuGH entschied, dass das nicht der Fall ist:
US-Behörden stehen Prüfungsrechte zu, ohne dass EU-Bürger sich dagegen wehren können. In dem entschiedenen Verfahren berief sich Schrems z. B. auf Section 702 des Foreign Intelligence Surveillance Acts (FISA 702), der Datenzugriffe bei elektronischen Kommunikationsdiensten bei Nicht-US-Bürgern auch ohne einen gerichtlichen Beschluss und Rechtsschutz erlaubt.
Nach Ansicht des EuGH liegen die Voraussetzungen des Privacy-Shield nicht mehr vor. Vielmehr verstößt die EU-Kommission gegen den Kern der Grundrechte der EU-Bürger auf Privatleben, Datenschutz und auf einen wirksamen Rechtsbehelf, wenn sie trotz FISA 702 und anderer Zugriffsrechte der US-Behörden Datentransfers in die USA zulässt.
Geltung für andere Länder als die USA: Das Urteil des EuGH hat keine direkte Auswirkung auf Datentransfers in andere Länder außerhalb der EU (die sich auf Standardvertragsklauseln stützen, z. B. Indien, Vietnam, Russland oder China). Außer das Datenschutzniveau ist auch dort nicht gleichwertig, was sich bei manchen der Ländernnahezu aufdrängt. Die Folge wäre, dass auch Datentransfers in solche Länder potentiell (da gerichtlich noch nicht festgestellt) unwirksam wären.
Was bedeutet die Entscheidung für die Praxis?
Für die Praxis bedeutet die Entscheidung erneut ein Rechtsvakuum, in dem Unternehmen politisch alleine gelassen werden:
- Bei US-Anbietern nach EU-Servern fragen– Viele Anbieter, wie z. B. Amazon Web Services (AWS) oder Microsoft bieten die Möglichkeit an, dass Daten auf EU-Servern gespeichert werden (auch hier bestehen Rechtsunsicherheiten, aber angesichts derzeitiger Lage ist diese Lösung eine hinreichend sichere Option).
- Keine US-Dienstleister einsetzen: Keine Dienstleister einsetzen, die Daten in den USA verarbeiten (d. h. bei US-Unternehmen nach EU-Servern fragen). Zumindest sollten Sie Evaluationsprozesse anstoßen, um im Fall der Fälle zumindest nachweisen zu können, dass Sie sich um Alternativen bemüht haben (mache Anbieter, wie z. B. der Versanddienstleister Mailchimp, boten auch bisher zusätzlich zum Privacy Shield Standardschutzklauseln an).
- Keine Dienstleister mit US-Subunternehmern einsetzen: Keine Dienstleister einsetzen, deren Subunternehmer die Daten in den USA verarbeiten.
- Verträge und Datenschutzhinweise anpassen: Verträge und Datenschutzerklärungen anpassen und Hinweise auf das Privacy-Shield entfernen.
Alternativ können Sie, wenn auch mit einem Risiko, erst einmal abwarten, wie die EU-Kommission und die Datenschutzbehörden reagieren werden.
Betroffene Dienstleister: Die Regeln für die Verarbeitung in Drittländern sind zunächst anwendbar, wenn Sie für die Verarbeitung (mit)verantwortlich sind oder Dienstleister als Auftragsverarbeiter einsetzen. Allerdings auch wenn Sie nicht direkt für die Verarbeitung der personenbezogenen Daten direkt verantwortlich sind, so muss das Datenschutzniveau gegebenenfalls im Rahmen ihres Sicherheitskonzepts (technisch-organisatorische Maßnahmen gem. Art. 32 DSGVO oder Datenschutz durch Technikgestaltung gem. Art. 25 DSGVO), zu berücksichtigen sein. D. h. eine pauschale Aussage ist nicht möglich, im Zweifel sollten Sie davon ausgehen, dass die Voraussetzungen der DSGVO für Datentransfers zu erfüllen sind.
Standardvertragsklauseln als Lösung?
Als eine Möglichkeit der Risikominderung bietet sich der Abschluss von Standardvertragsklauseln an:
- Standardvertragsklauseln abschließen oder deren Vorliegen prüfen: Falls Sie abwarten möchten oder nicht alle Dienstleister sofort auswechseln können, dann sollten Sie US-Dienstleister und Dienstleister mit US-Subunternehmern nach dem Abschluss von Standardvertragsklauseln fragen.
- Formelle Geltung der Standardvertragsklauseln: Bei US-Unternehmen die Standardvertragsklauseln anbieten, können Sie sich darauf berufen, dass die konkret vereinbarten Standardvertragsklauseln noch in Kraft sind, bis ein Gericht sie für unwirksam erklärt. Allerdings sagte der EuGH, dass Standardvertragsklauseln nur dann als Rechtsgrundlage für Datentransfers in Drittländer dienen können, wenn das Datenschutzniveau auch tatsächlich gewahrt wird. Da der EuGH das Datenschutzniveau in den USA im Fall des Privacy-Shields für unzureichend hielt, erteilte er den Datentransfers auf Grundlage der Standardvertragsklauseln mittelbar ebenfalls eine Absage. Denn egal ob Privacy Shield oder Vertragsklauseln, das Datenschutzniveau wird im Zweifel dasselbe sein.
- Schlechte Aussichten vor Gericht: Sollte also eine Datenschutzbehörde gegen Ihre Datentransfers in die USA vorgehen oder Nutzer sie zu deren Beendigung auffordern, werden Ihre Chancen vor Gericht, zumindest ausgehend von dem EuGH-Urteil, trotz Standardvertragsklauseln eher schlecht stehen (wobei der EuGH es zumindest anklingen lässt, dass man die Standardvertragsklauseln um zusätzliche Sicherheitsvereinbarungen anpassen kann – allerdings wird auch das schwer gelingen, wenn die USA den EU-Bürgern weiterhin den Datenschutz versagen).
Im Ergebnis ist die Lösung über Standardvertragsklauseln weder perfekt noch sicher. Dennoch ist es rechtlich sicherer, wenn die Standardvertragsklauseln abgeschlossen wurden und aufgehoben werden können, als wenn gar keine Standardvertragsklauseln vorliegen. Zudem können Sie deren “Datenschutz-Festigkeit” überprüfen.
Kaum zu handhaben – Verträge mit Sub-Subunternehmern: Die Standardvertragsklauseln gibt es nur für die Konstellation Verantwortlicher-Subunternehmer, aber nicht in der Konstellation Auftragsverarbeiter-Unterauftragsverarbeiter. Angenommen, Sie beauftragen einen Clouddienst in Deutschland, der die Daten aber auf einem US-Server bei einem US-Subunternehmen speichert. In dem Fall kann der Clouddienst keine Standardvertragsklauseln mit dem US-Subunternehmen abschließen. Denn es gibt keine Standardvertragsklauseln für diese Konstellation. Vielmehr müssten Sie die Standardvertragsklauseln mit dem US-Subunternehmer abschließen. Diese Anforderung ist in unserer vernetzten Welt praktisch kaum umsetzbar. Aber immerhin befinden sich die Klauseln derzeit in der Überarbeitung.
Standardvertragsklauseln im Einzelfall prüfen
Der EuGH hat gesagt, dass Standardvertragsklauseln im Einzelfall geprüft werden müssen. Wenn Sie das Risiko also weiter senken möchten, dann sollten Sie Ihre US-Dienstleister datenschutzrechtlich überprüfen.
Dazu empfehle ich diesen vorbereiteten Fragenkatalog (Link direkt zum Word-Dokument) an Ihre Dienstleister zu versenden.
- Positiver Aspekt: Wenn die Fragen positiv beantwortet werden, dann können Sie nachweisen, zumindest aktiv auf die Unwirksamkeit des Privacy-Shields reagiert zu haben.
- Häufig negatives Ergebnis: Zumindest bei den meisten Onlinediensten wird das Ergebnis der Prüfung eher negativ ausfallen. Denn Anbieter von elektronischen Kommunikationen, wie z. B. Amazon (AWS), Apple, Cloudflare, Dropbox, Facebook, Google oder Microsoft, müssen Geheimdiensten einen Zugriff auf Daten der Nutzer erlauben.
Im Ergebnis werden sehr wahrscheinlich viele US-Unternehmen nicht sofort antworten oder ausweichende Antworten geben. Ob Sie die in dem Fragenkatalog vorbereitete Androhung der Kündigung umsetzen oder erst einmal abwarten, ist eine Frage der Risiko-Einschätzung.
Eine weitere Möglichkeit der Risikominderung ist eine Einwilligung in den Datentransfer in die USA.
Einwilligung im Cookie-Banner als Lösung?
Laut Art. 49 Abs. 1 S. 1 lit. a DSGVO können personenbezogene Daten in ein Drittland auch im Fall eines unsicheren Datenschutzniveaus verarbeitet werden. Voraussetzung ist jedoch, dass die einwilligende Person (Hervorhebung vom Verfasser),
über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde
- In einem Cookie-Banner theoretisch umsetzbar: Eine solche Einwilligung ist auch in einem Cookie-Opt-In-Banner vorstellbar und wird von mir in dem auf dieser Website verwendetem Cookie-Opt-In-Banner getestet (s. folgendes Bildbeispiel).
- Wirksamkeit wird angezweifelt: Allerdings gilt auch in diesem Fall das Problem des fehlenden Datenschutzniveaus. Der EuGH meinte, dass durch die Gesetze der USA der Kernbereich der Grundrechte der EU-Bürger verletzt wird. Ob in einem solchen Fall ein EU-Bürger überhaupt einwilligen, also auf seine Grundrechte auf Privatleben, Datenschutz und auf einen wirksamen Rechtsbehelf verzichten kann, kann durchaus angezweifelt werden.
Am Ende gilt bei einer Einwilligung, dasselbe wie bei den Standardvertragsklauseln – es sind Maßnahmen, die der Risikominderung dienen, aber keine Sicherheit bieten können. Es bleibt also dabei, Datenschutz ist ein Spiel auf Zeit.
Vorübergehend abwarten?
Die Situation ist insoweit nicht neu, als schon 2015 mit dem Safe-Harbor-Abkommen der Vorgänger des Privacy-Shields aufgehoben wurden (EuGH, 06.10.2015 – C-362/14 “Schrems I”). Auch damals gab es eine ca. sechs-monatige “Hänge-Phase”, bis die EU-Kommission mit dem “Privacy Shield” eine Lösung präsentiert hat. Wobei das Abwarten nicht ohne Risiko ist:
- Politische Lage spricht gegen eine schnelle Lösung: Diesmal ist die politische Lage anders und von der derzeitigen US-Regierung eher weniger zu erwarten, dass sie sich kooperativ zeigen und EU-Bürgern einen höheren Rechtsschutz zugestehen wird.
- Risiko seitens der Datenschutzbehörden und der Betroffenen: Das Risiko beim Abwarten besteht zudem darin, dass Sie von Datenschutzbehörden oder Kunden, Nutzern sowie anderen Betroffenen zur Einstellung von Datentransfers in die USA aufgefordert werden könnten.
Welche Rechtsfolgen drohen?
Die aktuelle Lage bringt leider auch das Risiko dieser Rechtsfolgen mit sich:
- Maßnahmen von Datenschutzaufsichtsbehörden: Ist die Übermittlung in die USA unzulässig, können Aufsichtsbehörden Unterlassung des Einsatzes von Diensten und Dienstleistern verlangen oder sogar Bußgelder (bis 4% des Umsatzes eines Unternehmens) verhängen. Allerdings gehe ich davon aus, dass die Behörden aufgrund derzeitiger Lage zumindest zunächst zurückhaltend reagieren werden.
- Abmahnungen von Betroffenen: Ferner können Nutzer, Kunden oder andere betroffene Dateninhaber Sie abmahnen und Schadensersatz verlangen (auch wenn dies bis dato eher selten vorkommt und die Gerichte beim Schadensersatz sehr zurückhaltend sind). Die Kosten der Abmahnung lägen erfahrungsgemäß bei ca. 500 – 1.500 Euro und bei erneutem Verstoß, also erneutem unerlaubten Datentransfer bei ca. 2.500 – 5.000 Euro).
- Abmahnungen von Mitbewerbern und Verbraucherschutzorganisationen: Ob das Wettbewerbsrecht eine Rechtsgrundlage für die Abmahnung von Datenschutzverstößen ist, muss der EuGH noch klären. Daher war das Risiko von dieser Seite bisher eher gering, ist aber nicht auszuschließen.
Um die Folgen zu mindern sollten Sie daher Maßnahmen ergreifen, auch wenn sie nicht perfekt sein sollten.
Hörtipp: Mit @MalteEngeler blicken wir in die Zukunft der internationalen Datenflüsse nach dem Privacy Shield: “Privacy Shield – wie es jetzt weitergeht – Rechtsbelehrung Folge #79“. Teaser:
Fazit und Praxishinweise
Zusammenfassend kann festgestellt werden, dass das Urteil des EuGH zu großer Unsicherheit fühlt und nunmehr die Politik am Zug ist.
Frei nach dem Motto “too big to fail” ist nun abzuwarten, ob ein erneutes Abkommen (sei es ein “Privacy-Shield revisited“, “Safe Harbor rebooted” oder noch anders bezeichnet) abgeschlossen wird und welche Handlungsoptionen sich auf dieser Grundlage ergeben werden.
Bis dahin stehen Ihnen die folgenden Optionen zur Verfügung:
- Bei US-Anbietern auf EU-Server ausweichen – Sofern angeboten, wählen Sie die Verarbeitung auf EU-Servern (z. B. AWS, Microsoft).
- Keine US-Dienstleister einsetzen – Die sicherste Variante wäre keine (US)Dienstleister einzusetzen die selbst oder über deren Dienstleister personenbezogene Daten in die USA übermitteln. Zumindest sollten Sie in diese Richtung Evaluationsprozesse starten (also nachweislich Alternativen in Betracht ziehen und deren Einsatz erwägen/prüfen).
- Abwarten, nach Standardvertragsklauseln fragen und diese prüfen – Alternativ können Sie ein gewisses Risiko eingehen, die politische Entwicklung abwarten, sollten aber Dienstleister nach Standardvertragsklauseln für US-Datentransfers und deren Sicherheit im Einzelfall fragen (auch wenn die Wirksamkeit der Klauseln sehr zweifelhaft ist, ist diese Maßnahme zumindest potentiell risikomindernd).
- Wenn möglich Einwilligungen der Nutzer einholen -Wobei die Nutzer transparent auf den Einsatz von US-Dienstleistern und die Risiken hingewiesen werden müssen (man kann auch an eine Einwilligung in den Cookie-Hinweisen denken).
- Verträge und Datenschutzerklärungen anpassen – Entfernen Sie die Hinweise auf das Privacy-Shield (in unserem Generator werden die Datenschutzhinweise aktuell ohne den Hinweis erstellt).
Darüber hinaus gilt: Nicht verzagen, wir haben eine ähnliche Lage 2015 überstanden. Der wirtschaftliche Schaden für US- und EU-Unternehmen dürfte immens und damit der Druck auf die Politik eine Lösung zu finden sehr hoch sein.
Update: Google führt Standardvertragsklauseln ein
Nachdem der Europäische Gerichtshof den Privacy Shield für unwirksam erklärt hat, benötigt auch Google eine neue Rechtsgrundlage, um personenbezogene Daten zwischen der EU und den USA zu transferieren.
Google scheint zudem zusätzlich zu den Standardvertragsklauseln, die Datentransfers zu verschlüsseln (Anhang 2 1. (b) ) sowie die Verarbeitung von Daten in die EU auszulagern. Ob dadurch das Datenschutzniveau ausreichend wird, kann durchaus kritisch hinterfragt werden (da das US-Recht auch den Zugriff auf EU-Server von US-Unternehmen erlaubt). Jedoch sind es immerhin Maßnahmen, die man zur Rechtfertigung der Weiternutzung von Google heranziehen kann.
Man könnte auch sagen, dass Google mehr nicht unternehmen kann. Denn richtet man sich streng nach dem EuGH, dann müssten die USA ihre Sicherheitsgesetze ändern, damit Transfers von personenbezogenen Daten zwischen der EU und den USA wieder sicher werden.
Allerdings, bis eine politische Lösung für die EU-US-Datentransfers gefunden ist, sollten Sie die Standardvertragsklauseln und die geänderten AGB von Google akzeptieren (entweder stillschweigend oder falls Sie in der E-Mail dazu aufgefordert werden, ausdrücklich per Klick). Bitte speichern Sie die Rechtstexte ab und protokollieren für Ihre Unterlagen, wann Sie sie akzeptiert haben.
Ansonsten bleibt abzuwarten, wie die Entwicklung beim Nachfolger des Pivacy Shield voranschreitet.
Bitte Vorsicht: Bitte prüfen Sie, ob es sich tatsächlich um eine E-Mail von Google und nicht zufällig um einen Phisching-Versuch handelt. Daher empfehle ich (was generell gilt), statt auf Links in E-Mails zu klicken, sich in Ihrem jeweiligen Google-Account einzuloggen und dort den Datenschutzbereich aufzusuchen.
Aktualisierte Dokumente und Inhalte
- Generelle DSGVO-Informationen von Google.
- Google Ads Data Processing Terms: Model Contract Clauses Standard Contractual Clauses (Processors) For the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection.
- Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte.
- Datenverarbeitungs-bedingungen zwischen Verantwortlichen für Google Werbeprodukte.
- Datenverarbeitungsbedingungen für Google Werbeprodukte: Informationen zu den Diensten
Datenverarbeitungsbedingungen zwischen Verantwortlichen. - Datenverarbeitungsbedingungen für Google Ads – Informationen zu Unterauftragsverarbeitern.
- Google Measurement Controller-Controller Data Protection Terms.
- Entdecken Sie die Standorte unserer Rechenzentren.
- Firebase Data Processing and Security Terms.
- Crashlytics and App Distribution Data Processing and Security Terms.
- Data Processing Amendment to G Suite and/or Complementary Product Agreement (Version 2.3).
Updates
- 20.07.2020 – Wir haben einen Link auf den Podcast zum Privacy-Shield aufgenommen.
- 21.07.2020 – Hinweise zur Prüfung der Standardvertragsklauseln und Einwilligung im Cookie-Opt-In-Banner wurden neu aufgenommen.
- 11.08.2020 – Die Verhandlungen um einen Privacy-Shield-Nachfolger scheinen zu beginnen.
- 12.08.20200 – Neue Hinweise zu Updates bei Google-Produkten.
Hinweis zu unserem Generator für Datenschutzerklärungen
Wir haben aktuell keine Verweise auf das Privacy-Shield in unserem Generator für DSGVO-Datenschutzerklärungen , d. h. alle neu generierten Datenschutzerklärungen werden keinen Passus mehr zum Privacy Shield enthalten.
Wenn Sie Ihre Datenschutzerklärung kostenlos generiert haben, können Sie diese Version auch kostenlos updaten (sofern Sie die Umsatzgrenze nicht überschreiten).
Für Premium-Kunden gilt: Wenn Sie Ihre gespeicherten Eingaben im Datenschutz-Generator laden und Ihre Datenschutzerklärung neu generieren lassen, werden die Hinweise auf das Privacy-Shield in der neu generierten Datenschutzerklärung entfernt. Das Update ist kostenlos, sofern Sie die Lizenz innerhalb von 6 Monaten erworben haben. Für alle anderen bieten wir bis zum 31 Juli einen Rabatt von 50% auf Update Lizenzen.
Wenn Sie ein gemeinnütziges Unternehmen sind, oder derzeit aufgrund der Situation finanzielle Probleme haben, schreiben Sie uns bitte mit einer kurzen Begründung/ Nachweis und wir prüfen eine kostenlose Verlängerung der Lizenz