EuGH kippt Privacy-Shield-Abkommen

In ziemlich turbulenten Zeiten müssen Unternehmen aktuell an unterschiedlichen Stellen agieren. Für einige stellt die Corana-Pandemie einen ungeahnten Digitalisierungsschub dar, wohingegen es für viele andere um das nackte Überleben sowie um Existenzen geht.

Doch bei all diesen dynamischen Entwicklungen auf der Welt ruhen die Gerichte nicht. Insbesondere der Europäische Gerichtshof (EuGH) bewertet stetig sowie bedacht und sorgt damit für Rechtssicherheit in Zeiten, die den unternehmerischen Fokus auf Bereiche lenken, die aktuell nicht auf der Agenda zur Krisenbewältigung liegen und dennoch nicht vernachlässigt werden dürfen.

So stellt das jüngste Urteil des EuGH (Rechtssache C-311/18) in rasantem Tempo, erneut hohe Anforderungen an Unternehmen, insbesondere für das Online-Marketing mit etablierten Lösungen sowie Tools.

Starten wir jedoch ganz am Anfang.

Bevor das Privacy-Shield-Abkommen vom EuGH als unwirksam bewertet wurde, regelte es den Datenaustausch zwischen der EU und den USA. Denn im Gegensatz zur USA ist das Datenschutzrecht innerhalb der EU einheitlich geregelt, sodass es hier kein Problem darstellt, User-Daten an Anbieter innerhalb der Europäischen Union zu übertragen. Über das Privacy-Shield-Abkommen war es bisher möglich, auch an Anbieter aus den USA User-Daten zu übertragen. Dabei war wichtig, dass sich der entsprechende Anbieter dem Privacy-Shield-Abkommen unterwarf, da dieses Minimalstandards definierte.

In dem Urteil entschied der EuGH am Beispiel von Facebook, dass die Übertragung von User-Daten auf Basis des Privacy-Shield-Abkommens nicht rechtmäßig ist. Mit dem Urteilsspruch, in Verbindung mit den Aussagen der deutschen Datenschutzbehörden, macht es die Datenübermittlungen auf Grundlage des Privacy-Shield-Abkommens unmittelbar rechtswidrig, insbesondere da die DSGVO keine Karenzzeit in solchen Fällen vorsieht.

Bewahren Sie in jedem Fall erst einmal Ruhe.

Auch in diesem Bereich stehen zahlreiche Handlungsoptionen zur Verfügung und je nach dem welche Juristen Sie fragen, erhalten Sie mannigfaltige Rückmeldungen.

Initial sollten Sie sich einen Überblick darüber verschaffen, ob Sie Dienste nutzen, die sich ausschließlich auf das Privacy-Shield-Abkommen stützen. Eventuell gibt es auch vergleichbare Dienste aus der EU. Erfahrungsgemäß unterscheiden sich diese Lösungen oftmals im Leistungsumfang und im Zusammenspiel mit anderen Lösungen, gerade im Bereich des Online-Marketings.

Die Vielzahl unserer TYPO3 und Shopware Kunden nutzen in diesem Zusammenhang u. U. folgende Dienste:

Hier gilt es insbesondere die Hinweise zur Verantwortlichkeit für die Datenverarbeitung für Profile in den sozialen Netzwerken zu überprüfen. Für diese kann eine Änderung, eventuell auf Basis Art. 49 Abs. 1 S. 1 lit. a DSGVO erfolgen. Nach diesem können personenbezogene Daten in einem Drittland auch im Fall eines unsicheren Datenschutzniveaus verarbeitet werden. Voraussetzung ist jedoch, dass die einwilligende Person über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.

• Facebook
• Twitter
• Instagram
• Pinterest
• YouTube
• Xing
• LinkedIn
• uvw.

Beispielhaft könnte dies wie folgt aussehen (eine abschließende Bewertung und Empfehlung kann nur durch Ihren Rechtsbeistand erfolgen).

Indem Sie Social Media Kanal XYZ nutzen, willigen Sie zugleich gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO ein, dass Social Media Kanal XYZ Ihre personenbezogenen Daten in den USA verarbeitet. Die USA werden vom Europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden, zu Kontroll- und zu Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden können. Wenn Sie Social Media Kanal XYZ nicht nutzen, findet die vorgehend beschriebene Übermittlung nicht statt.

• Google Analytics
• Google Ads
• Google Adsense
• Google Adsense (nicht personalisiert)
• Google Remarketing
• Google Conversion Tracking
• Google Doubleclick
• Facebook Pixel

• MailChimp
• MailChimp mit deaktivierter Erfolgsmessung

• YouTube
• YouTube mit erweitertem Datenschutz
• Vimeo
• Vimeo ohne Tracking
• SoundCloud
• Spotify

• Stripe
• PayPal
• Klarna
• Sofortüberweisung
• Paydirekt

• Google Maps
• Apple Maps

In einem zeitnahen nächsten Schritt empfehlen wir, die Datenschutzerklärungen zu prüfen und anzupassen. Auch hier kann unter gewissen Umständen der Bezug auf den Art. 49 Abs. 1 S. 1 lit. a DSGVO sinnvoll sein, wenn Sie die betroffenen Dienste auf Ihrer Webseite oder in Ihrem Webshop nicht umgehend abstellen möchten. Näheres hierzu und auf Ihre individuelle Situation zugeschnitten kann Ihnen nur Ihr Rechtsbeistand raten. Wir empfehlen Ihnen, diesen in all diesen Fragen zu konsultieren.

Eine Lösung könnten auch die EU-Standardvertragsklauseln darstellen. Diese werden jedoch aktuell von den wenigsten Anbietern vorgehalten, noch ist deren Einsatz abschließend sicher. Denn die mittelfristige Zulässigkeit der EU-Standardvertragsklauseln steht auf wackeligen Beinen, da die grundsätzlichen Bedenken, die zum Kippen des Privacy-Shield-Abkommens führten, als vergleichbar angesehen werden könnten.

Mit dem Bezug auf Art. 49 Abs. 1 S. 1 lit. a DSGVO können personenbezogene Daten in einem Drittland auch im Fall eines unsicheren Datenschutzniveaus verarbeitet werden. Voraussetzung ist jedoch, dass die einwilligende Person über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.

Dies könnte theoretisch mit einem Cookie-Consent-Banner umgesetzt werden und wird aktuell von den zeroseven design studios für ein Update des TYPO3 DSGVO Cookie Managers für TYPO3 8.7 und neuer umgesetzt. Kunden werden hierzu in Kürze informiert.

Hierbei sei jedoch angemerkt, dass das EuGH-Urteil insbesondere darauf einging, dass die USA Grundrechte der EU-Bürger verletzen. Ob hierbei ein EU-User überhaupt einwilligen wird und damit auf seine Grundrechte verzichtet, bleibt fraglich. Unsere Erfahrungen seit der Einführung des TYPO3 DSGVO Cookie Managers zeigen, dass sich User aufgrund der Medienpräsenz zunehmend mit den Datenschutzeinstellungen auf Webseiten und Webshops auseinandersetzen. Heute wird bereits zwischen 30 % bis 40 % weniger getrackt als vor dem 25. Mai 2018.

Die aktuelle Situation birgt leider auch Risiken in Form von Rechtsfolgen.

Rechtsfolgen können initiiert werden durch:

• Datenschutzaufsichtsbehörden
  Diese können die Außerbetriebsetzung der Dienste verlangen sowie Bußgelder verhängen. Bußgelder können zwischen 10 bzw. 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 2 oder 4 % des gesamten weltweit erzielten Jahresumsatzes liegen. Wenn Sie bisher dachten, dass keine Bußgelder verhängt wurden oder diese gering ausfielen, lohnt ein Blick auf das DSGVO-Portal. Dort finden sich zahlreiche deutsche Fälle, auch in schwindelerregenden Höhen.
• Abmahnungen durch betroffene Personen und Verbraucherschutzorganisationen
  Betroffene User können Sie abmahnen und Schadenersatz verlangen. Auch wurde mit dem EuGH-Urteil vom 29.07.2019 Aktenzeichen (C-40/17 „Fashion ID“) das Verbandsklagerecht gestärkt.

Gerade im Bereich TYPO3 bereiten wir einige Updates unserer Extensions vor. Diese Extensions werden sich vorerst einmal auf die Datenübertragung von personenbezogenen Daten in ein Drittland auch im Fall eines unsicheren Datenschutzniveaus nach Art. 49 Abs. 1 S. 1 lit. a DSGVO beziehen.

Hierzu zählen insbesondere die zeroseven TYPO3 Extension DSGVO Cookie Manager, Google Maps basierende Lösungen sowie eingebettete YouTube Videos im erweiterten Datenschutzmodus sowie Videos von Vimeo.

Sobald die Updates verfügbar sind, werden wir unsere Kunden hierüber informieren.

Sollten Sie Fragen haben, so stehen wir Ihnen gerne zur Seite.

• Übersicht der Feinheiten der Angemessenheitsbeschlüsse der EU Kommission aufbereitet von Rechtsanwalt Johannes Nehlsen von der Stabsstelle IT-Recht der staatlichen bayerischen Hochschulen und Universitäten