Seit 2016 gibt es das „Privacy Shield“-Abkommen. Datenschützer und Juristen kritisierten es von Anfang an – nun gibt ihnen der Europäische Gerichtshof (EuGH) recht. Zu sehr ähnelt „Privacy Shield“ dem Vorgänger, zu ungenügend sind personenbezogene Daten vor dem Zugriff der US-Behörden und -Geheimdienste geschützt.
Was ist der EU-US Privacy Shield?
Der EU-US Privacy Shield (auch EU-US-Datenschutzschild) ist eine informelle Absprache zum Datenschutz zwischen USA und der EU. Sie besteht aus einer Reihe von Zusicherungen der US-amerikanischen Regierung und einem Beschluss der EU-Kommission vom 12. Juli 2016: Darin wurde geregelt, dass der Datenschutz im Austausch mit den USA dem Datenschutzniveau der Europäischen Union entspricht.
Die Absprache regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Sie war notwendig geworden, nachdem der EuGH im Oktober 2015 die bis dahin angewandte Safe-Harbor-Vereinbarung der Europäischen Kommission für ungültig erklärt hatte.
Das EuGH-Urteil zum EU-US Privacy Shield
Die Entscheidung der Richter beim EuGH kurzgefasst: „Das „Privacy Shield“ zwischen der EU und den USA ist ungültig, weil US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) eine Massenüberwachung erlauben.“ Damit sind Standardvertragsklauseln (SVK), über die sich vor allem US-Konzerne wie Amazon, Facebook, Google oder Microsoft für ihren Datentransfer in die Heimat zusätzlich abzusichern versuchen, wohl auch nicht rechtsgültig. Hierzu gibt es aber noch keine Entscheidung.
Trotzdem ist damit der Datenverkehr in die USA nicht gestoppt. Man könnte mit dem Artikel 49 DSGVO argumentieren: Absolut notwendige Datentransfers dürfen weiterhin stattfinden. Übermittlungen müssen durch eine informierte Einwilligung des Nutzers freigegeben werden. Die wäre aber auch jederzeit widerrufbar. Die USA würden in den Status eines Landes ohne besonderen Zugang zu EU-Daten zurückversetzt.
Was bedeutet das für den Nutzer in der EU?
Bei jeder einzelnen Datenverarbeitung muss geprüft werden, ob die hohen Anforderungen des EuGH erfüllt werden. Internationaler Datenverkehr bleibe zwar generell weiter möglich. Dabei seien aber die Grundrechte der EU-Bürger zu beachten. Für den Austausch mit den USA müssten nun besondere Schutzmaßnahmen ergriffen werden.
Wie das aussehen kann? Besser ist es, sich mit Unternehmen zu verbinden, die sich der DSGVO unterwerfen und keinen Datentransfer in die USA zulassen. US-Anbieter, deren Server nicht in der EU stehen und die sich nicht der DSGVO unterwerfen, sollten nicht genutzt werden.
Auswirkungen des EuGH-Urteils auf Google Analytics
Bisher konnte man sich über ein Consent-Banner die Zustimmung zur Nutzung von Google Analytics einholen und hatte damit die datenschutzrechtliche Grundlage zur Datenerfassung.
Google Analytics wird nicht speziell für den Geltungsbereich der DSGVO angeboten. Die europäische Tochter Google Ireland Limited ist im EU-Raum dafür zuständig. Man konnte mit Google Ireland auch einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abschließen. Dieser scheint aber nicht mehr Bestand zu haben und lässt sich bei Google nicht mehr finden.
Dafür gibt es in den Kontoeinstellungen den Zusatz zur Datenvereinbarung. In diesen Bedingungen ist nicht ausgeschlossen, dass Google die Daten in den USA verarbeiten und speichern darf. Für die Angemessenheit des Datenschutzniveaus beruft sich Google auf die Teilnahme der Google LLC am EU-US-Privacy-Shield. Und dieses ist nun unwirksam. Damit ist eine DSGVO-konforme Verarbeitung nicht mehr gewährleistet. Eine Standardvertragsklausel als Alternative liegt noch nicht vor.
Was kann man tun?
Aus unserer Sicht bleibt nur die Möglichkeit, an prominenter Stelle – also im Consent-Banner – die Einwilligung des Nutzer für die Verarbeitung der Daten in einem unsicheren Drittland (USA) einzuholen. In der DSGVO ist diese Möglichkeit in Art. 49 Abs. 1.) a) vorgesehen. Es kann unter Berufung auf den Art. 49 trotz fehlender Datenschutzvereinbarung eine Übermittlung personenbezogener Daten an ein Drittland zulässig sein.
Dazu müssen folgende Voraussetzungen erfüllt sein:
Die zustimmende Person muss vor der Zustimmung über die Datenübermittlung in ein unsicheres Drittland informiert, über die möglichen Risiken aufgeklärt werden und aktiv zugestimmt haben. In der Datenschutzerklärung der Website muss ebenfalls darauf hingewiesen werden. Die Zustimmung muss aktiv nach vorheriger Information über den Consent-Banner eingeholt werden.
Alternative: Auf ein anderes DSGVO-konformes Analyse-Tool umsteigen.
Sind auch andere Google-Dienste davon betroffen?
Grundsätzlich JA! Google verarbeitet seine Daten weltweit. Wo z.B. Google Ads Daten erfasst und gespeichert werden, bleibt Google überlassen.
Ganz aktuell!
Google hat inzwischen reagiert. Es gibt von Google jetzt eine angepasste Vereinbarung für die Google-Kunden. Doch in diesen Dokumenten wird Bezug auf die Privacy-Shield-Vereinbarung genommen. Es wird auch vereinbart, dass die Verarbeitung von Daten in Drittländern stattfindet. Allerdings – zumindest bei Google Analytics – nach den Vorgaben der DSGVO. Wer mag das glauben!
(Stand: 03. August 2020)
That is really nice to hear. thank you for the update and good luck.
Allein durch das Google Analytics-Tracking ist hiervon fast jeder Webseitenbetreiber betroffen.
Für das datengetriebene Marketing ergeben sich dadurch einige neue Herausforderungen, was bei all den positiven Aspekten auch bedacht werden sollte.
Es werden sich in Zukunft noch einige Dinge in dieser Hinsicht tun (Trust Tokens, …). Da sollte man unbedingt am Ball bleiben und sich regelmäßig informieren.
Heftig, mal sehen was sich in Zukunft noch alles tut.
Ich muss schon sagen, dass Datenschutz ein kompliziertes Thema ist, insbesondere wenn überall die Regeln/Richtlinien sind. Außerdem gibt es immer noch graue Zonen, die viele Unternehmen noch ausnutzen. Ich habe mir letztes Jahr auch ein Consent Management Tool geholt (https://www.consentmanager.de/) und seitdem habe ich auch aufgehört die Tools von Google zu nutzen. Es gibt ja unendliche Alternativen aktuell, die dasselbe machen und DSGVO konform sind.
Hallo Adrian, Dank für deinen Tipp! 🙂