Der EuGH kippt das Privacy Shield – kein Grund zur Sorge für etracker Analytics Nutzer

EU-US Privacy Shield

Die Datenschutz-Grundverordnung (DSGVO) soll für die Europäische Union (EU) ein einheitliches Datenschutzniveau gewährleisten. Damit dieser Schutz nicht unterlaufen werden kann, muss für eine Verarbeitung personenbezogener Daten außerhalb der EU gewährleistet sein, dass zumindest vergleichbare Anforderungen an eine rechtmäßige Datenverarbeitung eingehalten werden. Diese Anforderung ist sehr ernst zu nehmen. Die Verarbeitung personenbezogener Daten in Drittländern ist – neben der Einhaltung der Datenschutzgrundsätze und der Gewährleistung der Betroffenenrechte – einer der Tatbestände, an welche bei Verstößen besonders hohe Bußgelder drohen, nämlich bis zu 20 Millionen € oder 4 % des weltweiten Unternehmensumsatzes, je nachdem was höher ist.

Für die Verarbeitung in den Vereinigten Staaten war die Selbstzertifizierung von Anbietern nach dem Privacy Shield bislang in der EU eine ausreichende Garantie für vergleichbare Anforderungen an den Datenschutz. Das wurde durch den Europäischen Gerichtshof (EuGH) jetzt gekippt. Die Folge: Für die Verarbeitung personenbezogener Daten in den USA müssen durch den Verantwortlichen, der die Daten dorthin weitergibt, andere geeignete Garantien geschaffen und nachgewiesen werden, wenn er sich nicht den enormen Bußgeld-Androhungen der DSGVO aussetzen möchte.

Die wohl für die Praxis relevanteste Grundlage könnte der Abschluss eines EU-Standardvertrages sein. Dabei handelt es sich um einen durch einen Beschluss der Europäischen Kommission geschaffenen Mustervertrag, den ein Verantwortlicher (Data-Exporter) mit einem Verarbeiter (Data-Importer) schließen kann und der vorsieht, dass eine weisungsgemäße und angemessene Verarbeitung gewährleistet werden muss. Doch auch eine solche Vereinbarung würde an der grundsätzlichen Problematik, die den EuGH in Bezug auf Privacy Shield zur Feststellung dessen Unwirksamkeit bewogen hat, wenig ändern, nämlich dem weitgehend ungehinderten Spielraum für US-Behörden, auf solche Daten zuzugreifen.

Website-Besucher müssen zudem in Consent-Dialogen explizit auf die Risiken des Datentransfers hingewiesen werden, so die Leitlinien des Europäischen Datenschutzausschusses (EDSA). In Artikel 64 heißt es:

„Damit die Einwilligung in Kenntnis gesetzt werden kann, ist es notwendig, die betroffene Person über bestimmte Elemente zu informieren, die für ihre Entscheidung entscheidend sind. Daher ist der EDSA der Ansicht, dass zumindest die folgenden Informationen erforderlich sind, um eine gültige Einwilligung zu erhalten:

i. die Identität des für die Verarbeitung Verantwortlichen,
ii. der Zweck jeder der Verarbeitungsvorgänge, für die die Einwilligung beantragt wird,
iii. welche (Art von) Daten erhoben und verwendet werden,
iv. das Bestehen des Rechts, die Einwilligung zu widerrufen,
v. gegebenenfalls Informationen über die Verwendung der Daten für die automatisierte Entscheidungsfindung gemäss Artikel 22 Absatz 2 Buchstabe c) und
vi. über die möglichen Risiken von Datenübermittlungen aufgrund des Fehlens einer Angemessenheitsentscheidung und geeigneter Garantien, wie in Artikel 46 beschrieben.“ (vom Autor übersetzt)

Doch Warnhinweise in Cookie-Bannern dürften die Einwilligungsraten noch weiter sinken lassen, so dass bei rechtlicher Konformität kaum noch Daten erfasst werden können. 

Verantwortliche sollten jetzt ihre Bearbeitungen, sofern sie in den Vereinigten Staaten stattfinden, und Dienstleister mit etwaigen Konzernverstrickungen mit entsprechenden technischen Verbindungen in die USA sehr genau analysieren und prüfen, ob sie den künftig geltenden Anforderungen gerecht werden können und auch wollen. Außerdem sollten verantwortliche sich qualifiziert über die Risikolage beraten und informieren lassen. Denn Stand heute ist eine legale Einbindung von Analyse-Tools wie Google Analytics gar nicht möglich und birgt somit die Gefahr hoher Bußgelder in sich.

etracker Analytics Nutzer sind nach wie vor auf der sicheren Seite. Denn auch vor dem Hintergrund der neuesten Rechtsprechung wie die EDSA Leitlinien, das BGH-Urteil oder auch die Kippung des Privacy Shields ist etracker 100 % DSGVO-konform und in der Cookie-less Variante ohne jede Einwilligung einsetzbar.

Scroll to Top