Für die Verarbeitung personenbezogener Daten in den Vereinigten Staaten war die Selbstzertifizierung von Anbietern nach dem EU-US Privacy Shield bislang in der EU eine ausreichende Garantie für vergleichbare Anforderungen an den Datenschutz. Das wurde durch den Europäischen Gerichtshof (EuGH) jetzt gekippt. Die Folge: Für die Verarbeitung personenbezogener Daten in den USA müssen durch den Verantwortlichen, der die Daten dorthin weitergibt, ab sofort andere geeignete Garantien geschaffen und nachgewiesen werden.
Der EuGH betont in seinem Urteil zwar, dass sog. Standardvertragsklauseln (Standard Contractual Clauses-SCC) grundsätzlich weiter Gültigkeit behalten, aber sowohl die europäischen Datenexporteure als auch die Datenimporteure in Drittländern sind verpflichtet, vor der ersten Datenübermittlung zu prüfen, ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen (Rn. 134 f., 142 des Urteils). Der reine Abschluss von Standardvertragsklauseln reicht hier nicht (Rn. 126 ff. des Urteils). Das unterstreichen auch die Aufsichtsbehörden.
Zudem müssen Website-Besucher laut Artikel 49 DSGVO explizit auf die Risiken des Datentransfers hingewiesen werden und auch die Leitlinien des Europäischen Datenschutzausschusses (EDSA) greifen dies in Artikel 64 auf. Doch Warnhinweise in Cookie-Bannern entsprechend dieser Leitlinien rechtskräftig zu gestalten, ist nicht nur schwer, sondern führt erfahrungsgemäß zur weiteren Senkung der Einwilligungsraten, so dass bei rechtlicher Konformität kaum noch Daten erfasst werden können.
Stand heute ist eine legale Einbindung von Analyse-Tools wie Google Analytics, Adobe Analytics oder mapp nicht möglich und birgt somit die Gefahr hoher Bußgelder in sich. Verstöße gegen die Informationspflicht bei Einwilligungen können z. B. durch Wettbewerber und Verbraucherverbände abgemahnt werden. Auch betont der EuGH, dass betroffene Personen Schadensersatz (insbesondere sog. Schmerzensgeld) für nicht zulässige Datenexporte verlangen können.
Anwender von Lösungen US-amerikanischer Anbieter wie Google Analytics, Adobe Analytics, mapp, Onesignal oder Airship sollten unverzüglich handeln, denn laut DSK Pressemitteilung vom 28.07.2020 räumt der EuGH „keine Übergangs- bzw. Schonfrist“ ein. Das bedeutet, dass ab sofort Bußgelder in erheblicher Höhe drohen!
In ihrer Pressemitteilung vom 17.07.2020 fordert die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, Unternehmen auf, die „personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA [übermitteln], […] umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.“
Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg, Dr. Stefan Brink, hat am 25.08.2020 als erste Datenschutzaufsichtsbehörde in Europa eine konkrete Orientierungshilfe zur Auslegung des Schrems II-Urteils veröffentlicht. Und auch er positioniert sich klar und sagt:
„Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden […].“
etracker Analytics Nutzer sind nach wie vor auf der sicheren Seite. Denn die Verarbeitung personenbezogener Daten findet ausschließlich in der EU in unserem Rechenzentrum in Hamburg statt.