Der europäische Gerichtshof hat in einem Urteil das Privacy Shield zwischen den USA und der Europäischen Union für ungültig erklärt. Diese Entscheidung hat weitreichende Konsequenzen für den Datenschutz in Europa.
Privacy Shield Hintergrund
Grundsätzlich ist laut DSGVO nur eine Datenübertragung innerhalb der EU bzw. im EWR (Island, Lichtenstein, Norwegen) unproblematisch. Sollen personenbezogene Daten jedoch in ein Drittland übertragen werden, dann setzt die Datenschutz-Grundverordnung voraus, dass es im Empfängerland ein vergleichbares Datenschutzniveau wie in der EU gibt. Nur dann ist eine Übertragung gesetzlich legitimiert. Das Privacy Shield war eine Vereinbarung zwischen den USA und der EU, welche dieses Datenschutzniveau sicherstellen sollte und ersetze die damals ebenfalls gekippte Safe Harbour Regelung. An Privacy Shield zertifizierte US-Unternehmen durften somit die personenbezogenen Daten übertragen werden.
Datenübertragung in Drittstaaten
Eine Datenübertragung in Drittstaaten ist nach DSGVO nur unter folgenden Bedingungen möglich:
- Die EU hat einen Angemessenheitsbeschluss gefasst (Andorra, Argentinien, Kanada, Färöer Inseln, Guernsey, Israel, Isle of Men, Japan, Neuseeland, Schweiz, Uruguay)
- Ein rechtlich bindendes Dokument zwischen den Behörden oder öffentlichen Stellen (wie das jetzt ungültige Privacy Shield)
- Verbindliche interne Datenschutzvorschriften innerhalb eines Unternehmens oder einer Unternehmensgruppe
- Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden
- Von der Aufsichtsbehörde genehmigte Verhaltensregeln
- Vertragsklauseln, die die von der Behörde genehmigt wurden.
Das Privacy Shield hatte den Vorteil, dass – fast wie bei einem Angemessenheitsbeschluss – die Daten ohne weitere rechtliche Hürden verarbeitet werden konnten.
Auswirkungen
Die Entscheidung des europäischen Gerichtshof hat große Auswirkungen auf das Internet. Eine Vielzahl beliebter Onlinedienste wie Youtube, Google Maps, Google Analytics, Facebook Social Plugin, Twitter etc. werden von US-Unternehmen bereitgestellt, die das Privacy Shield umgesetzt hatten. Werden diese Inhalte auf der eigenen Website eingebunden, dann erfolgt zwangsweise eine Datenübertragung in die USA. Durch das Kippen des Privacy Shields ist diese Einbindung nicht mehr durch einen Vertrag zwischen EU und USA legitimiert.
Alternativen zum Privacy Shield
Falls das Zielland nicht über ein entsprechendes Datenschutzniveau verfügt, muss die Übertragung durch eine andere rechtliche Grundlage legitimiert werden.
Die Zustimmung des Betroffenen ermöglicht die Übertragung. Die Einwilligung muss aber freiwillig, verständlich und widerrubar sein. Hierfür reicht es nicht, dass Sie den Besucher in Ihrer Datenschutzerklärung auf die Übertragung hinweisen. Die Zustimmung muss VOR der Übertragung erfolgt sein.
Denken Sie auch darüber nach, Software aus den USA durch Software aus der EU ersetzen.
Standardvertragsklauseln
Eine weitere, bisher weitestgehend unbeachtete Möglichkeit die Datenübertragung in die USA rechtlich abzusichern sind die sogenannten Standardvertragsklauseln.
Wenn Sie als Website-Betreiber einen Vertrag mit einem amerikanischen Dienstleister inklusive diesen Standardvertragsklauseln abschließen, dann ist eine Datenübertragung in die USA möglich. Zu beachten ist, dass Sie diese Standardvertragsklauseln mit jedem eingesetzten Dienstbetreiber zu vereinbaren haben. Das setzt zudem voraus, dass die US-Firmen diesen Klauseln zustimmen. Während beispielsweise der Newsletter-Anbieter „Mailchimp“ bereits seit längerem anbietet, diese in den Geschäftsvertrag aufzunehmen, haben andere Firmen, wie beispielsweise Google diese Option erst nach dem Scheitern des Privacy Shields angeboten.
Lösungen für Websites
Ressourcen die bisher von anderen Websites geladen werden sollten direkt in der eigenen Website eingebettet werden (Google Fonts, …). Dadurch fällt der Zugriff auf die US Websites weg.
Für Links zu Facebook und anderen Social Mediadiensten ist eine 2-Click Lösung eine sinnvolle Alternative. Hierbei wird der externe Inhalt (beispielsweise der Facebook Like-Button) von einer Art Container umgeben. Dadurch wird dieser nicht sofort beim Aufruf der Website geladen, sondern der Benutzer muss diesen Container erst durch Klicken aktivieren. Erst beim Klicken werden die Inhalte geladen und somit erst zu diesem Zeitpunkt die Daten an den Dienst übertragen. Das bedeutet, dass nur die Daten von Benutzern, die eine Interaktion mit Facebook wollen, an Facebook übertragen werden.
Eine ähnliche Lösung ist Shariff, eine Open Source Lösung, welche kostenlos vom heise-Verlag zur Verfügung gestellt wird. Hierbei wird der externe Inhalt ebenfalls in eine Art Container verpackt. Im Gegensatz zur 2-Click Lösung sind die Inhalte trotzdem sofort sichtbar, ohne dass die Besucherdaten an einen amerikanischen Server übertragen werden. Shariff unterbricht hierfür die direkte Verbindung zwischen dem Website-Besucher und dem externen Dienst.
Für das Einbinden von Videos empfiehlt es sich statt beispielsweise Youtube-Inhalte direkt einzubinden, einen Screenshot des Videos anzuzeigen und erst bei einem Klick auf diesen Screenshot die Verbindung zu Youtube herzustellen. Diese Methode beschleunigt außerdem die Website. Für Youtube Videos in WordPress übernimmt das Plugin WP Youtube lyte diese Aufgabe.
Datenschutzerklärung – Privacy Shield ersetzen
Durch den Wegfall des Privacy Shield sind auch (fast) alle Datenschutzerklärungen anzupassen. Kontrollieren Sie bitte Ihre Datenschutzerklärung auf der Website und ersetzen Sie die Verweise auf das Privacy Shield.
Fazit
Eine Website heutzutage ohne externe Inhalte zu betreiben, ist nahezu unmöglich. Viele der beliebtesten Dienste sitzen hierbei jedoch in den USA. Um die DSGVO Anforderungen hierbei zu erfüllen, müssen Sie diese Datenübertragung jedoch legitimieren. Unabhängig davon, ob Sie lieber auf technische oder organisatorische Maßnahmen setzen, nach dem Kippen des Privacy Shields sollten Sie möglichst rasch reagieren und diese neuen Anforderungen erfüllen.
easyGDPR unterstützt Sie hierbei. Mit unserem neuen Datenschutzgenerator können Sie Ihre Datenschutzerklärung problemlos an die neuen Gegebenheiten anpassen.