Nachdem Max Schrems durch seine Klagen bereits Safe Harbour und das Privacy Shield zu Fall gebracht hat, macht der Aktivist weiter und kämpft im Sinne des Datenschutzes nun auch gegen die Anwendbarkeit der Standardvertragsklauseln im Zusammenhang mit der Datenübermittlung in die USA.
Ausgangslage:
Für viele Webdienste ist eine Datenübermittlung in die USA unausweichlich. Die Urteile „Schrems I“ und „Schrems II“ haben dabei gezeigt, dass eine Rechtssicherheit in Bezug auf die Datenverarbeitung in den USA derzeit nicht gegeben ist. Dies liegt für Noyb (das NGO von Max Schrems) und für die Richter des EuGH primär an den Überwachungsgesetzen in den USA. Durch den Wegfall des „Abkommens“ zur Datenübermittlung, zuletzt eben des Privacy Shields, ist eine Datenübermittlung in die USA erst einmal unzulässig.
Als Lösungsansatz wurde daher in vielen Fällen auf die EU-Standardvertragsklauseln zurückgegriffen, da deren Gültigkeit durch die vorliegenden Urteile nicht pauschal in Frage gestellt wurde. Jedoch wurde auch hier darauf hingewiesen, dass die Anwendbarkeit im Einzelfall zu prüfen ist und von einem angemessenen Sicherheitsniveau abhängig ist.
Zwischenfazit:
Auch wir haben vorab gewarnt weiterhin „ungefragt“ Daten in die USA zu übermitteln. Bereits seit einiger Zeit vertreten wir die Meinung, dass die Einbindung von Drittanbieterinhalten – vor allem aus oder in die USA – nur mit einer Einwilligung des Betroffenen möglich ist. Bei den Webseiten bedeutet dies: BEVOR die Einbindung des Drittanbieters erfolgt, bedarf es der Einwilligung des Betroffenen, die beispielsweise mittels einer Cookie-Wall abgefordert werden kann. In den Informationen zu den einzelnen Drittanbietern sollte dann auf den Transfer in die USA hingewiesen werden. Auch wenn viele Webseitenbetreiber diesen Schritt meiden möchten und mögliche Trackingverluste erwarten, aus unserer Sicht ist dies derzeit der einzige Weg einerseits die Vorgaben der Cookie-Richtlinie und andererseits die Information über den unsicheren Drittland-Transfers zu erfüllen.
Was jetzt passiert:
Ob das Urteil des EuGH nun schlicht ignoriert wurde, oder die Betreiber der Webseiten schlicht ihre Umsätze schwinden sahen; viele Anbieter nutzen heute noch Google Analytics oder den Facebook Pixel um die Besucherströme auf der Webseite zu messen und passende Werbung auszuspielen. Dies hat auch Max Schrems bemerkt und deswegen bei den zuständigen Aufsichtsbehörden EU-weit insgesamt 101 Beschwerden über Webseiten eingereicht, die aus seiner Sicht eine unzulässige Datenübermittlung in die USA durchführen. Damit wächst der Druck auf die Aufsichtsbehörden, den Datentransfer stärker zu prüfen und entsprechende Maßnahmen einzuleiten.
Wer betroffen ist:
Natürlich sind 101 Beschwerden über die gesamte EU verteilt nicht viel und primär betrifft es damit die großen Portalbetreiber. Trotzdem setzt Max Schrems damit ein Zeichen. In Deutschland sind Webseiten der nachfolgenden Unternehmen betroffen: netzwelt GmbH (netzwelt.de), Sky Deutschland (sky.de), TV Spielfilm Verlag GmbH (tvspielfilm.de), DuMont.next GmbH & Co. KG (express.de), FUNKE Digital GmbH (derwesten.de), Handelsblatt GmbH (wiwo.de), Chefkoch GmbH (chefkoch.de)
Fazit:
Zwischen der EU und den USA haben zwar erste Verhandlungen begonnen, wie zukünftig ein sicherer Datentransfer dargestellt werden kann, jedoch sind noch keine greifbaren Ergebnisse zu sehen. Einfach ein neues Abkommen („Privacy Harbour“ oder „Privacy Safe“) wird wahrscheinlich nur zu einem weiteren Urteil („Schrems III“) führen, es ist an der Politik einen sicheren Rechtsrahmen für die Zukunft zu vereinbaren. Bis dahin bleibt es aus unserer Sicht dabei: Der Datentransfer in die USA hängt bei Webseiten von der Einwilligung der Betroffenen ab. Während wir es in dieser frühen Phase nicht gut finden, dass erneut Unruhe in die aktuelle Lage gebracht wird, erhöht das Vorgehen von Noyb den Druck auf die Politik zügig die Verhandlungen fortzusetzen.
Handlungsempfehlung – sofern immer noch nicht geschehen:
- Sofern bisher das Privacy Shield für die Datenübermittlung genutzt wurde, wechseln Sie auf eine andere Vereinbarung mit dem Datenempfänger – z.B. auf die EU-Standardvertragsklauseln.
- Sorgen Sie dafür, dass Drittanbieter auf Ihrer Webseite – gerade, wenn diese ihren Sitz in den Staaten haben – erst nach der Einwilligung der Betroffenen eingebunden werden.
- Achten Sie bei der Information der Betroffenen darauf, auf den Datentransfer ins Drittland und die damit möglichen Restrisiken hinzuweisen.
Damit sorgen Sie dafür, dass der Datentransfer nicht ungeregelt ist und dass das Risiko eines möglichen Datenzugriffs durch die Behörden in den USA dem Betroffenen bekannt ist.
Wenn der Betroffene das Risiko akzeptiert und bezüglich der Datenübermittlung eine freie Wahl hatte, kann von einer gültigen Einwilligung des Betroffenen ausgegangen werden!
Quellen:
https://noyb.eu/de/101-beschwerden-zu-eu-us-transfers-eingereicht
