Zur Startseite
Das gekippte Privacy Shield - ein Schutzschild aus Pergament?
Hans Heidemann
von Hans Heidemann

Das gekippte Privacy Shield - ein Schutzschild aus Pergament?

Am 16.07.2020 ist nach einem Rechtsstreit zwischen Facebook und Maximilian Schrems, Datenschutzaktivist, das neue Abkommen zum Umgang amerikanischer Unternehmen mit europäischen (Nutzer-)Daten als ungültig erklärt worden. Das Kippen des EU-US Privacy Shield stellt Unternehmen wie Facebook und Google vor große Probleme, da personenbezogenen Daten von EU-Bürgern laut DSGVO nur dann verarbeitet werden dürfen, wenn ein angemessenes Datenschutzniveau vorliegt (Art.44 bis 49 DSGVO)¹, was im Fall der USA nicht so ist.

Im Folgenden lesen Sie, wie Sie als Seitenbetreiber oder Nutzer von Facebook, Twitter, Instagram und vielen weiteren amerikanischen Seiten damit umgehen können und was Sie wissen sollten:

Stationen der Vereinbarungen nach der Einführung der DSGVO

Nach der Einführung der neuen EU-weiten Verordnung, wie künftig mit Nutzerdaten umgegangen werden sollte, trat man ins Gespräch mit Ländern außerhalb der EU, um auch dort den neuen Schutz zu gewährleisten.

Die bis dahin gültige Safe-Harbour-Entscheidung wurde im Oktober 2015 vom Europäischen Gerichtshof als ungültig erklärt, sodass eine neue Regelung nötig war.

Die seit Ende Februar 2016 gültige informelle Absprache regelte von da an den Schutz personenbezogener Daten im Austausch zwischen der USA und der EU.

Aufgabe und Inhalte

Die Regelung des Privacy Shields diente unter anderem dazu, dass auch amerikanische Unternehmen, welche personenbezogene Daten aus der EU verarbeiten, die Grundsätze des Datenschutzes einhalten und diese im US-Bundesregister veröffentlichen.

Wie bereits beim Safe-Harbor-Abkommen sind die Unternehmen auch hier dazu verpflichtet, sich in eine Liste einzutragen um das Einhalten dieser Regelung zu bestätigen.

Um die Weitergabe von Daten an Dritte strenger zu kontrollieren, sicherte die USA wirksame Aufsichtsmaßnahmen und bei Verletzung oder Nichteinhaltung des Abkommens Sanktionen des Unternehmens zu, welche bis zur Streichung aus der Liste der begünstigten Unternehmen führen konnte.

Bei Verstößen der Verordnung war es dem Nutzer aus der EU möglich, diese über einen so genannten „Ombudsmann“² des amerikanischen Außenministeriums prüfen zu lassen. Diese Prüfungen und Erklärungen würden daraufhin im US-Bundesregister veröffentlicht.

Ziel war es, EU-Bürgern bei Verletzung bindenden Rechts in diesem Bereich rechtliche Schritte zu ermöglichen und Ansprüche geltend zu machen. Um eine schnelle Bearbeitung zu gewährleisten wurde zudem eine Frist von 45 Tagen zur Abhandlung der eingegangenen Beschwerde festgesetzt. Sollte tatsächlich ein Konflikt vorliegen, konnte sich der betroffene Nutzer neben einer alternativen Streitbeilegung auch an die für ihn zuständige nationale Datenschutzbehörde wenden, welche in Zusammenarbeit mit der Federal Trade Commission der Beschwerde nachgehen würde.

Datenschutzaktvisten greifen ein

Seit Bestehen des Abkommens war dieses scharf in der Kritik, nicht zuletzt durch Maximillian Schrems, welcher bereits die Safe-Harbor-Regelung zu Fall brachte.

Dieser war es auch, der schlussendlich das außer Kraft setzen des Privacy Shields bewirkte. Laut seiner Aussage verhält es sich so, dass es keine grundlegende Änderung gegenüber der vorherigen Absprache gibt.

„Da steht genauso drin, US-Recht hat Vorrang, wenn US-Recht sagt, die Daten dürfen abgefangen werden, dann dürfen die abgefangen werden. … Wenn man … die Dokumente anschaut …, steht da ausdrücklich drin, dass es für sechs Fälle auf jeden Fall noch Massenüberwachung gibt. Und dann ist es auch so, dass diese Definition, was Massenüberwachung eigentlich ist, bei den Amerikanern ein bisschen skurril ist.“³

Nach einem Rechtsstreit zwischen Facebook und Schrems wurde das neue Abkommen am 16.07.2020 als ungültig erklärt. Das stellt Unternehmen wie Facebook und Google vor große Probleme, da personenbezogenen Daten von EU-Bürgern laut DSGVO nur dann verarbeitet werden dürfen, wenn ein angemessenes Datenschutzniveau vorliegt (Art.44 bis 49 DSGVO), was im Fall der USA nicht so ist.

Da sich die derzeitige internationale Kooperation amerikanischer Administratoren schwierig gestaltet, erscheint eine kurzfristige Einigung als eher unwahrscheinlich. Andererseits würde ein Wegfallen dieser Zusammenarbeit einen weiteren immensen wirtschaftlichen Schaden mit sich bringen. Vielleicht entscheidet am Ende das Geld, ob es zu einer praxisnahen Lösung kommen wird.

Was das Kippen des Privacy Shield konkret für Sie als Seitenbetreiber oder Nutzer bedeutet

Cookie-Hinweis müssen entsprechend angepasst werden

Google, Google Maps, Google Fonts, Facebook und viele andere Dienste, die wir täglich nutzen, unterlagen dem Privacy Shield. Durch das Erlöschen gilt die Nutzung momentan jedoch als Verstoß gegen die aktuellen Datenschutzerklärungen. Vorerst ist damit eine weitere Zustimmung durch den Seitenbesucher nötig.

Auf allen Webseiten, die diese Dienste nutzen, muss der jeweilige Seitenbetreiber nun neben dem bereits bekannten Cookie-Banner zudem eine weitere Zustimmung aller Seitenbesucher eingeholt werden, dass deren Daten an Dienstleister in den USA weiter gegeben werden dürfen. Das muss gemacht werden, bevor diese Dienste eingebunden werden.

So muss dann also beim Besuch der Seite ein weiteres Fenster geöffnet werden, um die Nutzer:innen zuerst über die Datenweitergabe zu informieren und um vor der Einbindung des eigentlichen Dienstes deren Zustimmung einzuholen. Ein komplexes, aber aktuell notwendiges Unterfangen.

Wie Sie als Seitenbetreiber mit der aktuellen Situation umgehen könnten:

Unser Tipp lautet: Vergleichbare Dienste aus Europa nutzen. Eine Umstellung, die man auch gezielt für das Marketing nutzen kann. Dies ist in jedem Fall der schnellste und einfachste Weg. Sollten Sie weiterhin auf amerikanische Dienste zurück greifen wollen, sind die zusätzlichen Hinweise rechtlich unumgänglich.

Um sich und Ihre Nutzer nicht unwissentlich in eine (bestenfalls) rechtliche Grauzone zu "klicken", helfen wir Ihnen gern dabei Ihre Internetseite sicher zu gestalten. Vereinbaren Sie umgehend einen Termin mittels Kontakformular, wir freuen uns auf Sie.

Fakt ist: Es bleibt spannend.

QUELLEN:

Weitere Informationen zum Artikel 44 bis 49 der DSGVO.

Mehr zur Verbraucherschlichtungsstelle Ombudsmann.

Deutschlandfunk im Gespräch mit Maximilian Schrems und Netzpolitik zum Rechtsstreit des Datenschutzaktivisten mit Facebook.

EMPFEHLUNGEN:

Kontakt zu Interweber aufnehmen →

Interwebers Beratungsschwerpunkt entdecken →