Pragmatische Datenschutz-Beratung vom zertifizierten Datenschutzbeauftragten
Datenschutz-Erstehilfe-Blog
  • Datenschutz-Erstehilfe
  • Datenschutz-Erstehilfe-Blog
  • Datenschutzerklärung
  • Impressum
Datenschutz für Websites , Gerichtsurteile , News

Wie geht es weiter ohne Privacy Shield? Kann ich die Dienste von US-Unternehmen überhaupt noch nutzen?

by Philip Essinger September 14, 2020 No Comments
Maßnahmen nach Wegfall des Privacy Shield

Das PRIVACY SHIELD entfällt mit sofortiger Wirkung laut EuGH-Urteil vom 16.7.2020. Und wie machen Millionen von deutschen Usern nun weiter?

Kurze Zusammenfassung, was es bedeutet, Dienste wie Google Analytics, Microsoft Teams oder Zoom ohne Privacy Shield zu nutzen.

  • Wen geht es an?
    Alle, die personenbezogene Daten mit USA austauschen oder teilen – also kurz: ALLE!
    Ohne das Privacy Shield werden AV-Verträge (Auftragsverarbeitungsverträge bzw. DPA, Data Processing Agreements) für die Nutzung von Software und Online-Diensten ungültig. Gleiches gilt für die Datenschutzerklärungen der Websites. 
  • Beispiele der betroffenen Website-Dienste:
    YouTube, Vimeo, Google Maps, Google Ads, Google Analytics, reCAPTCHA, Facebook Pixel/Connect, Cloudflare, Mailchimp, etc.  
  • Beispiele für Cloud-Services und Software im Büro/Home-Office:
    Zoom, Microsoft Teams und Skype, Goto Meeting, Google Hangout etc.
  • Was kann ich noch weiterhin nutzen?
    Alle Dienste aus Deutschland und der EU bzw. dem Europäischen Wirtschaftsraum EWR dürfen weiterhin verwendet werden.
  • Außerdem gibt es noch Länder außerhalb der EU mit einem sogenannten angemessenen Schutzniveau, wie die Kanada, Isarel, Japan, Neuseeland (siehe vollständige Liste: Staatenliste (PDF, 640 kB, 10.09.2020)
    Ergänzend sei gesagt, dass am 1.9.2020
    für die USA kein Angemessenheitsbeschluss erteilt wurde,
    sprich es gibt kein gültiges Datenschutz-Abkommen mit der USA!

 

Welche Alternativen gibt es bzw. wie handele ich jetzt am besten?

1. Ausweichen auf einen Server oder Cloud-Dienst mit Serverstandort in der EU bzw. Central Europe

—> die Theorie ist gut, aber US-amerikanische Unternehmen sind verpflichtet – nach dem sogenannte CLOUD Act – den Zugriff der US-Geheimdienste auf EU-Server zu erlauben, sprich wir haben hier auch keine wirkliche Sicherheit. 

2. Der Anbieterwechsel hin zu einem europäischen Unternehmen ist bestimmt die beste Lösung, aber leider nicht immer so einfach möglich.

3. Vertragliche bzw. rechtliche Zusicherung über „Standard Contractual Clauses (SCC, EU-Standard-Vertragsklausel) oder über „Binding Corporate Rules“ (BCR).

Diese vertraglichen Absicherungen lösen zumindest das rechtliche Problem, da sie von den EU-Aufsichtsbehörden anerkannt werden.

Diese Vertragswerke werden derzeit von den meisten Unternehmen überarbeitet und den Kunden schnellstmöglich zur Verfügung gestellt werden.

Wie schon erwähnt, ist es allerdings durchaus möglich, dass diese Verträge von den Aufsichtsbehörden bzw. Gerichten nicht anerkannt werden.

Hier finden Sie eine Liste der bereits verfügbaren neuen Verträge

(die Liste ist noch im Aufbau / Stand: 14.09.2020):

https://www.microsoft.com/de-de/servicesagreement/upcoming.aspx (Microsoft, DPA, ab 1.10.2020 gültig)

https://mailchimp.com/help/mailchimp-european-data-transfers/ (Mailchimp, DPA, SCC, 9.2020)

https://de.linkedin.com/legal/l/dpa (Linkedin, DPA, SCC, 9.2020)

https://aws.amazon.com/de/blogs/security/aws-gdpr-data-processing-addendum/ (AWS, Erweiterung der Servicebedingungen von Amazon Services)

https://zoom.us/de-de/privacy.html#Toc44414845 
Zoom verwendet die EU-Standard Vertragsklauseln —> https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32010D0087 

https://privacy.google.com/businesses/controllerterms/mccs/ 

Resümee:

Es gibt also eigentlich nur zwei Möglichkeiten:
Anbieterwechsel oder abwarten, bis die Unternehmen entsprechende SCC- oder BCR- Vereinbarungen zur Verfügung stellen.

WICHTIG:

  • Sie sollten Ihre AV-Verträge bzw. DPAs mit US-Unternehmen neu abschließen
  • Die Besucher Ihrer Website müssen auf diese neue Gesetzeslage hingewiesen werden, dazu muss die Datenschutzerklärung entsprechend aktualisiert werden
  • Eine Einwilligung zu den verwendeten Diensten via Cookie Content Tool sollte neu eingeholt werden 
  • Im Zweifel Ihren Datenschutzbeauftragten involvieren.
  • Eine falsche Datenschutzerklärung stellt einen DSGVO-Verstoß dar, daraus können Bußgeld-Verfahren entstehen

About Philip Essinger

View all posts by Philip Essinger | Website

  • Previous Wer Google vertraut ist verraten – Chrome macht was er will!2 Jahren ago
  • Next DSGVO-konforme Tools für die digitale Kommunikation, Kollaboration und Workspace (Update 2022)2 Jahren ago

Neue Beiträge

  • Strafe wegen Google Fonts auf der Website vermeiden September 1, 2022
  • DSGVO-konforme Tools für die digitale Kommunikation, Kollaboration und Workspace (Update 2022) August 31, 2022
  • Wie geht es weiter ohne Privacy Shield? Kann ich die Dienste von US-Unternehmen überhaupt noch nutzen? September 14, 2020
  • Wer Google vertraut ist verraten – Chrome macht was er will! Juni 4, 2020
  • Das aktuelle BGH Urteil vom 25.5.2020 zu Cookies und „Cookie-Banner“ Juni 3, 2020

Archive

  • September 2022
  • August 2022
  • September 2020
  • Juni 2020
  • April 2020
  • März 2020
  • Januar 2020
  • Oktober 2019
  • September 2019
  • Dezember 2018
  • Mai 2018

Kategorien

  • Datenschutz für Websites
  • Gerichtsurteile
  • News
  • Social Media
  • TOMs & Verfahren
  • Tools für Unternehmen
  • Uncategorized
2023 Pragmatische Datenschutz-Beratung vom zertifizierten Datenschutzbeauftragten . Donna Theme powered by WordPress