+49 (55 03) 9 15 96 48 sorge@DatCon.de

Boom! Der Privacy Shield ist unwirksam, er ist weg.

Der Europäische Gerichtshof (EuGH) hat am 16.07.2020 das sogenannte „Privacy-Shield“ für unwirksam erklärt. Damit hat
er für die Nutzung von einer Vielzahl von Diensten die rechtliche Grundlage zur Nutzung entzogen.
Der „Privacy Shield“ war der Nachfolger von „Safe Harbour“ und hat durch Richtlinien und Anforderungen die
datenschutzrechtliche Sicherheit für die Verarbeitung und Übertragung von personenbezogenen Daten in die USA gebildet.

Was heißt das konkret?
Dieses Urteil bedeutet nicht, dass nun gänzlich keine europäischen Daten mehr in den USA verarbeitet werden dürfen.
Es gibt noch die EU-Standardvertragsklauseln, die eine gültige Grundlage für den Transfer darstellen. Diese gelten zwar
noch, wackeln aber bereits. Eine Voraussetzung für die Nutzung ist nämlich, dass bei der Übermittlung personenbezogener
Daten das vom Unionsrecht verlangte Schutzniveau eingehalten werden muss. Und ob das aufgrund der amerikanischen
Gesetzgebung überhaupt möglich ist, ist fraglich und wird weiter geprüft.

Welche Dienste sind betroffen?
Dieses Urteil betrifft eine Vielzahl von Diensten. Man wird in den nächsten Wochen und Monaten erst den kompletten
Umfang sehen.
Für die erste Einschätzung kann die folgende Auflistung dienen.

  • CDN (Content-Delivery-Network): Cloudflare, Fastly, Google Cloud, Jetpack, KeyCDN, Stackpath
  • Social Media: Twitter-Plugin, Instagram-Plugin, Tumblr-Plugin, LinkedIn-Plugin, Pinterest-Plugin, FacebookConnect, Facebook-Plugins, AddThis, LinkedIn
  • Tracking- und Analyse-Dienste: Google Analytics, WordPress Stats, Fullstory, Adobe Analytics (Omniture), Google (Universal) Analytics, Jetpack, Lucky Orange, Netlify Analytics (Netlify Inc.), New Relic, Optimizely, Squarespace, Analytics
  • Ad Networks: Google Ads, Google Adsense, Google Adsense (nicht personalisiert), Google Remarketing, Google Conversion Tracking, Google Doubleclick, Facebook Pixel
  • Newsletter-Anbieter: ActiveCampaign, MailChimp, Klaviyo, SendGrid, Shopify Email, WhatsApp-Newsletter
  • Musik-/Videoplattformen: YouTube, Vimeo, SoundCloud, Spotify
  • Videokonferenz-Tools: Zoom, Skype, GoToMeeting, Microsoft Teams, Google Hangouts, Google Meet
  • Hosting-Anbieter: Ecwid, Shopify, Squarespace, Weebly, Wix
  • Single-Sign-On-Verfahren: Facebook Connect, Google Sign-In
  • Live-Chat-Systeme: Chatra (Roger Wilco LLC), Freshchat, LuckyOrange, Zendesk
  • Datenverarbeitungen zur Bestellabwicklung: Printful, Wix Payments als Paymentdienstleister
  • Sonstige Tools: Google Web Fonts, Adobe Fonts, Google reCAPTCHA, Google Maps, Amazon Partnerprogramm,
    Whatsapp Business, CookiePro als Cookie-Consent-Tool, Google Kundenrezensionen, Bing Maps als OnlineKartendienst, Shopsync für Shopify, Wordfence als Security und Anti-Malware, LogRocket bei der Übermittlung von Fehlermeldungen

Die Auflistung sollte nicht als abschließend betrachtet werden, vielmehr als Signal zum Start einer Überprüfung. Man muss
jede Verarbeitung dahingehend überprüfen!
Was sollte ein Unternehmen nun machen?
Panik wäre jetzt falsch. Dennoch muss schnellstmöglich jede Verarbeitung und Übermittlung von personenbezogenen
Daten unter die Lupe genommen werden.
Eine weitere Möglichkeit wäre beispielsweise, dass die Nutzer jeweils in die Übertragung ihrer Daten in die USA einwilligen.
Allerdings birgt eine Einwilligung andere Risiken und man muss genau prüfen, ob eine solche Rechtsgrundlage sinnvoll ist.

Ein Unternehmen sollte folgende Punkte abarbeiten:

  1. Erstellen einer Liste mit Softwareanbieter und Dienstleister aus den USA.
  2. Prüfen, ob hier personenbezogene Daten der Nutzer übermittelt bzw verarbeitet werden.
  3. Prüfen, ob der Anbieter eine Regelung für Kunden aus der EU treffen wird.
  4. Prüfen, ob in Ihrer Datenschutzerklärung die Datenübertragung bei bestimmten Unternehmen auf das Privacy Shield Abkommen gestützt war. Wenn ja, dann muss diese Formulierung angepasst werden.

Fazit?
Fakt ist, es besteht Handlungsbedarf. Natürlich wird und kann kaum ein Unternehmen seine gesamten Prozesse sofort
anpassen. Dennoch ist es wichtig, dass dieser Punkt nicht verdrängt wird. Eine Missachtung bedeutet definitiv ein Bußgeld.
Es hängt lediglich davon ab, ob bzw. wann es auffällt und wie „nachsichtig“ ggf. die Aufsichtsbehörde ist, sofern sie hierzu
überhaupt noch Entscheidungsmöglichkeiten hat.

Es bleibt spannend!