print logo

Aus fürs Privacy Shield - Aus für US-Tools in der EU?

Weitreichendes Urteil: EuGH räumt „keine Übergangs- bzw. Schonfrist“ ein.
etracker GmbH | 21.08.2020
© freepik / rawpixel
 

Wer Lösungen US-amerikanischer Anbieter wie Google Analytics, Adobe Analytics, mapp, Onesignal oder Airship einsetzt, sollte unverzüglich handeln, denn laut DSK Pressemitteilung vom 28.07.2020 räumt der EuGH „keine Übergangs- bzw. Schonfrist“ ein. Das bedeutet, dass ab sofort Bußgelder in erheblicher Höhe drohen! 

 

Für die Verarbeitung personenbezogener Daten in den Vereinigten Staaten war die Selbstzertifizierung von Anbietern nach dem EU-US Privacy Shield bislang in der EU eine ausreichende Garantie für vergleichbare Anforderungen an den Datenschutz. Das wurde durch den Europäischen Gerichtshof (EuGH) jetzt gekippt. 

 

Der EuGH betont in seinem Urteil zwar, dass sog.  Standardvertragsklauseln (Standard Contractual Clauses-SCC) grundsätzlich an die Stelle des Privacy Shields treten können, aber sowohl die europäischen Datenexporteure als auch die Datenimporteure in Drittländern sind verpflichtet, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen (Rn. 134 f., 142 des Urteils). Der reine Abschluss von Standardvertragsklauseln reicht hier nicht (Rn. 126 ff. des Urteils). Das unterstreichen auch die Aufsichtsbehörden. 

 

Bleibt noch die Möglichkeit über Einwilligungen der Nutzer den Datentransfer aufrechtzuerhalten. Website-Besucher müssen laut Artikel 49 DSGVO allerdings explizit auf die Risiken des Datentransfers hingewiesen werden und auch die Leitlinien des Europäischen Datenschutzausschusses (EDSA) greifen dies in Artikel 64 auf. Doch Warnhinweise in Cookie-Bannern entsprechend dieser Leitlinien rechtskräftig zu gestalten, ist nicht nur schwer, sondern führt erfahrungsgemäß zur weiteren Senkung der Einwilligungsraten, so dass bei rechtlicher Konformität kaum noch Daten erfasst werden können. 

 

Stand heute ist somit eine legale Einbindung von US-Tools kaum möglich und birgt somit die Gefahr hoher Bußgelder in sich. Verstöße gegen die Informationspflicht bei Einwilligungen können z. B. durch Wettbewerber und Verbraucherverbände abgemahnt werden. Auch betont der EuGH, dass sogar betroffene Personen Schadensersatz (insbesondere sog. Schmerzensgeld) für nicht zulässige Datenexporte verlangen können.  

 

In ihrer Pressemitteilung vom 17.07.2020 fordert deshalb die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, Unternehmen auf, die „personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA [übermitteln], […] umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.“  .