US-Datentransfer per Einwilligung

Das Aus für das Privacy Shield stellt viele Unternehmen vor enorme Herausforderungen, da trotzdem durchgeführte Datentransfers rechtswidrig sind und Bußgelder und sogar Schadensersatzforderungen von Betroffenen nach sich ziehen können.

Der Einsatz von US-Marketing-Tools ist gemäß  Orientierungshilfe der Datenschutzaufsicht BW auf Grundlage von Standardvertragsklauseln nur in folgenden Fällen denkbar:

  • Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann
  • Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann

Beide Bedingungen lassen sich bei Cloud-Diensten wie Google Tag Manager, Google Analytics, Google DoubleClick, Facebook Pixel usw. kaum erfüllen, da der Website-Betreiber die Verschlüsselung oder Pseudonymisierung nicht selbstständig steuern kann.

Bleibt laut oben genannter Orientierungshilfe noch der Ausweg über Art. 49 DS-GVO Abs. 1 UAbs. 1 a unter der Bedingung, dass „die betroffene Person in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt [hat], nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde“.

Ob diese Ausnahme allerdings für einen dauerhaften, kontinuierlichen Tracking-Datentransfer gilt, ist laut Leitlinien der Europäischer Datenschutzaufsicht fraglich:

„Im Einklang mit den Grundsätzen des Europäischen Rechts sind die Ausnahmen deshalb restriktiv auszulegen, damit die Ausnahme nicht zur Regel wird.“

Erste Consent-Dialoge haben schon derartige Hinweise integriert, wie zum Beispiel auf digimojo.de (25.09.2020, 13:35 Uhr):

Wir haben daher einen Fachanwalt für Datenschutzrecht gefragt, wie ein wirksamer Hinweis gestaltet werden muss. Nach Ansicht von Rechtsanwalt Thomas Brehm (www.bbs-law.de) muss eine Zustimmung gesondert in einer solchen Form für den Einsatz von Google Analytics eingeholt werden:

Als Unternehmen sollte man sich gut überlegen, ob man derartige Warnhinweise tatsächlich auf seiner Website haben möchte. Außerdem dürfte die Einwilligungsrate nicht sonderlich hoch sein, wodurch auch der Nutzwert fraglich ist. Insofern ist die Einwilligung zum Datentransfer zwar theoretisch eine Möglichkeit, dürfte aber in der Praxis an der zu geringen Einwilligungsrate und der Gefahr von Image-Schäden scheitern.

Scroll to Top