Browser verändern sich, Gesetze werden aktualisiert, Normen in den Internet-Standards (CSS, JS) werden angepasst. Damit Sie den nötigen Durchblick behalten, informieren wir Sie auf dieser Seite regelmäßig.
Der EuGH hat mit dem “Privacy-Shield” die Hauptgrundlage für Datentransfers zwischen der EU und den USA für unwirksam erklärt. In der Praxis bedeutet dieses, dass keine Dienste von US-Anbietern mehr genutzt werden dürfen. Zu diesen Anbietern gehören u.a. Google (Google-Analytics) und Facebook. Aber auch Newsletter-Services und Videostreaming-Dienste wie Youtube und Vimeo sind betroffen. Was ist erlaubt und wie setzt man die neuen Vorgaben um? Diese Fragen versuchen wir hier zu klären.
Der EU-US-Datenschutzschild (Privacy Shield) sollte als Grundlage für den transatlantischen Datentransfer zwischen der Europäischen Union und den Vereinigten Staaten von Amerika dienen. Nun hat der EuGH mit Urteil vom 16.07.2020 das Abkommen gekippt.
Die Übermittlung von personenbezogenen Daten an Drittländer ist in Kapitel V der DSGVO geregelt. Gemäß Art. 45 Abs. 1 S. 1 DSGVO darf ein solcher Datentransfer nur vorgenommen werden, wenn die Europäische Kommission beschlossen hat, dass das Verarbeitungsland ein angemessenes Schutzniveau bietet (sog. Angemessenheitsbeschluss). Voraussetzung für den Erlass eines Angemessenheitsbeschlusses ist, dass das Drittland, also im Fall von Google und Youtube (Vimeo) die USA, ein angemessenes Schutzniveau aufweist. Das ist aber bei diesen in den USA ansässigen Firmen nicht der Fall. Warum?
In den USA gibt es Überwachungsprogramme der US-Behörden, die auf Sektion 702 FISA und Executive Order 1233 gestützt werden. Nach Sektion 702 des FISA können Justizminister und der Direktor der nationalen Nachrichtendienste der USA zur Beschaffung von „Informationen im Bereich der Auslandsaufklärung“ die Überwachung von Personen genehmigen, die keine amerikanische Staatsbürgerschaft haben und sich nicht auf amerikanischen Hoheitsgebiet befinden. Somit ist es jedem in den USA ansässigen Unternehmen vorgeschrieben, Daten an die CIA und das FBI zu übergeben. Sämtliche Daten, die in die USA übermittelt werden, können (und müssen) durch die Überwachungsprogramme PRISM und UPSTREAM durch die Unternehmen den Behörden zugänglich gemacht werden.
Vor dem Hintergrund der Datenverarbeitung durch die US-Behörden kann nicht mehr von einem Verhältnismäßigkeits-Anspruch ausgegangen werden, der Eingriffe in die Art. 7, 8 GRCh der EU -Bürger auf ein zwingend erforderliches Maß begrenzt. Das bedeutet: Ein vom EuGH gefordertes „gleichwertiges Schutzniveau” bezüglich der EU-Grundrechte kann durch diese Überwachung der Daten durch die US-Behörden nicht gewährleistet werden. Somit wurde also das EU-USA-Abkommen zum Datenaustausch (Privacy-Shield-Abkommen) für ungültig erklärt. Am 16.7.2020. Mit Wirkung ZU SOFORT.
BEDEUTUNG IN DER PRAXIS:
Was müssen Sie tun?
1. Analysieren Sie, welche Softwareanbieter und Dienstleister aus den USA Sie nutzen.
2. Prüfen Sie, ob ihr Anbieter eine Regelung für Kunden aus der EU treffen wird oder schreiben Sie die Anbieter an und fragen nach, welche Lösungen das Unternehmen treffen wird.
Welche Services sind konkret betroffen?
Da es noch keine konkreten Entscheidungen der Datenschutzbehörden der Länder gibt, finden Sie nachfolgend eine Übersicht der Dienste, die betroffen sind:
Social Media:
– Facebook-Connect
– Facebook Plugins
– Twitter Plugin
– Instagram Plugin
– Tumblr Plugin
– LinkedIn Plugin
– Pinterest Plugin
Tracking-Dienste:
– Google Analytics
– WordPress Stats
– Ad Networks
– Google Ads
– Google Adsense
– Google Adsense (nicht personalisiert)
– Google Remarketing
– Google Conversion Tracking
– Google Doubleclick
– Facebook Pixel
CDN (Content-Delivery-Networks):
– Amazon Cloudfront
– Cloudflare
– sämtliche Anbieter von CDN-Services!
Musik-/Videoplattformen:
– YouTube
– YouTube mit erweitertem Datenschutz
– Vimeo
– Vimeo ohne Tracking
Videokonferenz-Tools:
– Zoom
– Skype for Business
– GoToMeeting
– Microsoft Teams
– Google Hangouts
– Google Meet
Weitere Dienste:
– Google Web Fonts
– Adobe Fonts
– Google Maps
– Google reCAPTCHA
UND WAS PASSIERT KONKRET?
Datenschutz in Deutschland wird auf Länderebene geregelt. Es wird also seine Zeit benötigen, bis Rechtsklarheit herrscht. Dazu werden Abmahnungen und Gerichtsurteile nötig sein. Tendenzen sind jedoch schon jetzt erkennbar.
Die Datenschutzbeauftragte des Bundeslandes Berlin äußert sich in einer Pressemitteilung so:
„Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.
Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an. “
ANMERKUNGEN ZUR NUTZUNG VON Microsoft® TEAMS:
Ich möchte Sie bitten, dass Sie sich selbst ein Bild zu Lage machen. Dazu stelle ich Ihnen die offizielle
Pressemitteilung von Microsoft®
und
einen Artikel von RA Peter Hense aus der Süddeutschen Zeitung
zur Verfügung.