Das PRIVACY SHIELD entfällt mit sofortiger Wirkung laut EuGH-Urteil vom 16.7.2020. Und wie machen Millionen von deutschen Usern nun weiter?
Kurze Zusammenfassung, was es bedeutet, Dienste wie Google Analytics, Microsoft Teams oder Zoom ohne Privacy Shield zu nutzen.
- Wen geht es an?
Alle, die personenbezogene Daten mit USA austauschen oder teilen – also kurz: ALLE!
Ohne das Privacy Shield werden AV-Verträge (Auftragsverarbeitungsverträge bzw. DPA, Data Processing Agreements) für die Nutzung von Software und Online-Diensten ungültig. Gleiches gilt für die Datenschutzerklärungen der Websites. - Beispiele der betroffenen Website-Dienste:
YouTube, Vimeo, Google Maps, Google Ads, Google Analytics, reCAPTCHA, Facebook Pixel/Connect, Cloudflare, Mailchimp, etc. - Beispiele für Cloud-Services und Software im Büro/Home-Office:
Zoom, Microsoft Teams und Skype, Goto Meeting, Google Hangout etc. - Was kann ich noch weiterhin nutzen?
Alle Dienste aus Deutschland und der EU bzw. dem Europäischen Wirtschaftsraum EWR dürfen weiterhin verwendet werden. - Außerdem gibt es noch Länder außerhalb der EU mit einem sogenannten angemessenen Schutzniveau, wie die Kanada, Isarel, Japan, Neuseeland (siehe vollständige Liste: Staatenliste (PDF, 640 kB, 10.09.2020)
Ergänzend sei gesagt, dass am 1.9.2020
für die USA kein Angemessenheitsbeschluss erteilt wurde,
sprich es gibt kein gültiges Datenschutz-Abkommen mit der USA!
Welche Alternativen gibt es bzw. wie handele ich jetzt am besten?
1. Ausweichen auf einen Server oder Cloud-Dienst mit Serverstandort in der EU bzw. Central Europe
—> die Theorie ist gut, aber US-amerikanische Unternehmen sind verpflichtet – nach dem sogenannte CLOUD Act – den Zugriff der US-Geheimdienste auf EU-Server zu erlauben, sprich wir haben hier auch keine wirkliche Sicherheit.
2. Der Anbieterwechsel hin zu einem europäischen Unternehmen ist bestimmt die beste Lösung, aber leider nicht immer so einfach möglich.
3. Vertragliche bzw. rechtliche Zusicherung über „Standard Contractual Clauses (SCC, EU-Standard-Vertragsklausel) oder über „Binding Corporate Rules“ (BCR).
Diese vertraglichen Absicherungen lösen zumindest das rechtliche Problem, da sie von den EU-Aufsichtsbehörden anerkannt werden.
Diese Vertragswerke werden derzeit von den meisten Unternehmen überarbeitet und den Kunden schnellstmöglich zur Verfügung gestellt werden.
Wie schon erwähnt, ist es allerdings durchaus möglich, dass diese Verträge von den Aufsichtsbehörden bzw. Gerichten nicht anerkannt werden.
Hier finden Sie eine Liste der bereits verfügbaren neuen Verträge
(die Liste ist noch im Aufbau / Stand: 14.09.2020):
https://www.microsoft.com/de-de/servicesagreement/upcoming.aspx (Microsoft, DPA, ab 1.10.2020 gültig)
https://mailchimp.com/help/mailchimp-european-data-transfers/ (Mailchimp, DPA, SCC, 9.2020)
https://de.linkedin.com/legal/l/dpa (Linkedin, DPA, SCC, 9.2020)
https://aws.amazon.com/de/blogs/security/aws-gdpr-data-processing-addendum/ (AWS, Erweiterung der Servicebedingungen von Amazon Services)
https://zoom.us/de-de/privacy.html#Toc44414845
Zoom verwendet die EU-Standard Vertragsklauseln —> https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32010D0087
https://privacy.google.com/businesses/controllerterms/mccs/
Resümee:
Es gibt also eigentlich nur zwei Möglichkeiten:
Anbieterwechsel oder abwarten, bis die Unternehmen entsprechende SCC- oder BCR- Vereinbarungen zur Verfügung stellen.
WICHTIG:
- Sie sollten Ihre AV-Verträge bzw. DPAs mit US-Unternehmen neu abschließen
- Die Besucher Ihrer Website müssen auf diese neue Gesetzeslage hingewiesen werden, dazu muss die Datenschutzerklärung entsprechend aktualisiert werden
- Eine Einwilligung zu den verwendeten Diensten via Cookie Content Tool sollte neu eingeholt werden
- Im Zweifel Ihren Datenschutzbeauftragten involvieren.
- Eine falsche Datenschutzerklärung stellt einen DSGVO-Verstoß dar, daraus können Bußgeld-Verfahren entstehen