No Privacy no Party – Der EUGH bringt das Privacy Shield zu Fall

von Mag. jur. Robert Reitmann

Der EUGH bringt das Privacy Shield zu Fall. Eine Übermittlung von personenbezogenen Daten aus der EU in die USA auf Basis des Privacy Shields ist damit nicht mehr zulässig.

Ist das Privacy Shield ein taugliches Mittel für die Datenübermittlung in die USA?

Die Entscheidung des EuGH vom 16.7.2020 beruht auf dem Verfahren von Maximilian Schrems gegen Facebook in Irland. In diesem Verfahren galt es als Vorfrage durch den EUGH zu klären, ob das Privacy Shield überhaupt ein taugliches Mittel für die Datenübermittlung in die USA darstellt und ob die USA ein geeignetes Datenschutzniveau anbietet. Der EuGH hat dies mit der Begründung, dass es in den USA keinerlei mit der DSGVO vergleichbaren Datenschutz gibt, verneint und damit das Privacy Shield für ungültig erklärt. Es gibt für diese Entscheidung keine Übergangsfrist. Was bedeutet das nun?

Garantien für die Datenübermittlung in die USA

Der Europäische Datenschutzausschuss (das gemeinsame Gremium aller Aufsichtsbehörden innerhalb der EU) verlangt, dass alle Datenübermittlungen in die USA zu prüfen sind. Wenn man zum Schluss kommt, dass keine ausreichenden Garantien für die Datenübermittlung vorhanden sind, müssen Datenübermittlungen in die USA eingestellt werden. Konkret für Tools auf der Webseite würde dies heißen, dass man sich Europäische Dienstleister suchen sollte. Dies ist natürlich für einige Unternehmen sehr schwierig bis gar nicht zu realisieren, deshalb verstärken sich auch jene Stimmen (u.a. die der britischen Aufsichtsbehörde), dass man einstweilen wie bisher weiter machen und die weiteren Entwicklungen abwarten solle.

Gibt es Alternativen zum Privacy Shield?

Eine scheinbare Alternative zum Privacy Shield bieten die sogenannten Standardvertragsklauseln, falls diese mit einer US-Firma für die Datenübermittlung abgeschlossen wurden. Scheinbar deswegen, weil es doch sehr unwahrscheinlich ist, dass ein US-Dienstleister garantieren kann, dass keinerlei amerikanische Sicherheitsbehörden auf Daten von EU-Bürgern zugreifen kann.

Die Einwilligung des Betroffenen als Rechtsgrundlage

Es bleibt als weitere Rechtsgrundlage daher noch die Einwilligung des Betroffenen selbst für eine Datenübermittlung in die USA, die man gerade bei Einsatz von US Dienstleistern auf der Webseite auch mit Hilfe von WebCare und dem hauseigenen Tag Manager realisieren kann. Wie dies andere Cookie Management Tools die dafür auf die Hilfe des US Tools Google Tag Manager angewiesen sind, bleibt abzuwarten. Es ist natürlich die legitime rechtliche Frage zu klären, ob es zulässig ist, per Einwilligung auf ein Grundrecht auf Datenschutz zu verzichten und über welche Details genau bei Datenübermittlungen nach US alles vorab zu informieren sein wird. Wir bleiben für Sie weiter dran!

Datenspeicherung innerhalb der EU

Dort wo Dienstleister eine Datenspeicherung innerhalb der EU anbieten sollte diese Option auch gewählt werden zB bei AWS oder Microsoft. US-Dienstleister sind nach Standardvertragsklauseln und Garantien zu fragen oder es sind europäische Alternativen zu evaluieren.

Verweise auf das Privacy Shield sind unverzüglich zu entfernen

In sämtlichen Datenschutzhinweisen sind jedenfalls die Verweise auf das Privacy Shield unverzüglich zu entfernen. Wir haben das für alle unsere WebCare Kunden bereits an jenem Tag an dem das Privacy Shield zu Fall gekommen ist, erledigt. Wir überwachen weiterhin die zukünftigen Schritte und werden die notwendigen Anpassungen für unsere Kunden vornehmen. 

Bildquellen: Adobe Stock Photo

Entdecken Sie WebCare - die Consent Management Platform - für die datenschutzkonforme Umsetzung Ihres Webauftritts!

DataReporter hat WebCare für die Umsetzung der ePrivacy Richtlinie entwickelt, welche Ihnen dabei hilft, Ihr Consent Management zu automatisieren 

  • inkl. Cookie Banner (anpassbar an Ihr Corporate Design),
  • zentral verwaltbare & automatisierte Datenschutzerklärung (automatisierte Darstellung aller kategorisierten Cookies und juristisch geprüfter Module),
  • zentral verwaltbares Impressum
  • und integrierter Tag Manager 
  • für eine hundertprozentige Datenschutz-Konformität Ihres Webauftritts, laut dem BGH Urteil.

Automatisierung ist wunderbar und mit Kontrolle einfach unschlagbar, weil

  • durch einen Freigabeprozess
  • und eine Benutzerverwaltung,
  • werden die Vorteile der Automatisierung mit der letztendlichen Entscheidung des Verantwortlichen vereint.

Alles im und auf einen Blick,

  • durch die Mandantenfähigkeit, 
  • d.h. es können mehrere Organisationen (Domains) in einer Lizenz verwaltet werden.

Sie möchten mehr über WebCare erfahren? Für eine direkte Kontaktaufnahme schreiben Sie uns bitte unter contact@datareporter.eu oder kontaktieren Sie uns telefonisch +43 7242 677 00 20

Wir freuen uns auf Sie!
Ihr DataReporter Team