Europäische Unternehmen kehren US Softwareherstellern den Rücken zu

Mag. jur. Robert Reitmann im Interview

Der EuGH bringt das Privacy Shield zu Fall. Eine Übermittlung von personenbezogenen Daten aus der EU in die USA auf Basis des Privacy Shields ist damit nicht mehr zulässig. Die Entscheidung des EuGH vom 16.7.2020 beruht auf dem Verfahren von Maximilian Schrems gegen Facebook in Irland.

 

Datenschutzniveau

In diesem Verfahren galt es als Vorfrage durch den EuGH zu klären, ob das Privacy Shield überhaupt ein taugliches Mittel für die Datenübermittlung in die USA darstellt und ob die USA ein geeignetes Datenschutzniveau anbietet. Der EuGH hat dies mit der Begründung, dass es in den USA keinerlei mit der DSGVO vergleichbaren Datenschutz gibt, verneint und damit das Privacy Shield für ungültig erklärt. Es gibt für diese Entscheidung keine Übergangsfrist! Somit ist das Privacy Shield als rechtliche Basis für eine Datenübermittlung in die USA weggefallen.

Standardvertragsklauseln der EU-Kommission

Der EuGH hat allerdings die sogenannten Standardvertragsklauseln der EU-Kommission generell weiterhin als gültige rechtliche Grundlage für eine Datenübermittlung in Drittstaaten anerkannt, hingegen nur dann, wenn das Datenschutzniveau im Drittstaat faktisch absolut gewahrt wird. Ob das de facto in den USA der Fall ist, muss in Anbetracht des Urteils bezweifelt werden.

Objektiv betrachtet, bleibt somit in der Regel keine „standardmäßige“ rechtliche Grundlage für eine Datenübermittlung in die USA!

Google und Facebook haben auf den Beschluss reagiert, in dem sie untermauerten, dass sie Standardvertragsklauseln auch zukünftig als gültige Grundlage ansehen.
Die Datenschutz-NGO von Max Schrems (noyb) hat bekannt gegeben, dass sie Beschwerden gegen 101 Websitebetreiber aus 30 EU-/EWR-Ländern angesichts der Verwendung von Google Analytics bzw. Facebook Connect (Datenübermittlung in die USA trotz Aufhebung des Privacy Shield) eingebracht haben. (Quelle: https://noyb.eu/de/101-beschwerden-zu-eu-us-transfers-eingereicht )

Beschwerden bei der österreichischen Datenschutzbehörde

Die Beschwerden sind größtenteils bei der österreichischen Datenschutzbehörde anhängig. Die Beschwerdeführer begründen ihr Vorgehen dahingehend, dass Google und Facebook gemäß den US-Gesetzen verpflichtet sind, Daten an US-Behörden zu übermitteln, und deswegen die Standardvertragsklauseln keine anwendbare Rechtsgrundlage darstellen. Folgt die Behörde dieser Begründung, dann hat sie die Option, Geldstrafen gegen die Websitebetreiber zu verhängen. Der DSGVO-Strafrahmen ist nachweislich außerordentlich hoch (bis zu € 20 Mio.).

Wie sehen Sie diese Thematik und wie sollten aus Ihrer Sicht Unternehmen damit umgehen?

Der Wegfall des Privacy Shields beschäftigt derzeit so einige und es macht es natürlich nicht einfacher in den Überlegungen von Unternehmen, dass nunmehr sogar Beschwerden vor den Aufsichtsbehörden anhängig sind. Der Ausgang bei diesen Verfahren ist natürlich ungewiss.

Ob US Tools mit Einwilligung oder Standardvertragsklauseln und Ergänzung der Informationspflichten im Augenblick generell rechtskonform zu betreiben sind, ist tatsächlich höchst fraglich.

Die von Google und Facebook angeführten EU-Standardvertragsklauseln werden als eine mögliche Option für die rechtssichere Datenübermittlung in die USA gesehen. Da ist aber die große Frage, ob ein US Unternehmen wirklich Garantien anbieten kann, dass keine US Sicherheitsbehörden auf EU Daten zugreifen. Das ist im Hinblick auf die Regelungen rund um den Patriot und Freedom Act in den USA doch äußerst fraglich.

Die sicherste Variante derzeit wäre natürlich, die US Tools vorübergehend zu deaktivieren und auf Nutzerdaten zu verzichten bzw. sich europäische Alternativen zu suchen (was aufgrund der Funktionsvielfalt von diesen Tools natürlich schwierig ist).

Letztendlich bleibt die Frage zu klären, ob man US Tools per Einwilligung des Nutzers einsetzen kann. Dies würde aber eine umfangreiche Informationspflicht nach sich ziehen, indem der Nutzer auf den Einsatz solcher Tools, die Übermittlung von Daten in die USA und die Risiken einer solchen Datenübermittlung transparent hingewiesen werden müsste. Auch wenn man diese Informationspflichten alle erfüllt bleibt offen ob man per Einwilligung auf ein Grundrecht auf Datenschutz verzichten kann (und nichts anderes passiert bei Übermittlung in die USA).

Abgestufter Stufenplan, den wir derzeit Unternehmen raten:

  1. Prüfung ob Übermittlungen von Daten in die USA überhaupt stattfinden
  2. Nachfrage ob eine alternative Datenspeicherung auf EU Servern technisch möglich ist (z.B. Microsoft und Amazon bieten derartige Möglichkeiten an)falls nicht,
  3. Prüfung einer europäischen Alternative
    falls alternativlos,
  4. Aufnahme von umfangreichen Informationen zur Datenübermittlung in die USA
  5. falls technisch möglich, Implementierung einer Einwilligungslösung
  6. Einfordern des Abschlusses von Standardvertragsklauseln
  7. Einfordern von zusätzlichen Garantien wie z.B. eine Verschlüsselung der Daten, zusätzliche Informationspflichten sowie eine Garantie des Ausschöpfens aller zur Verfügung stehenden Rechtsmittel gegen einen Zugriff auf Daten.

Man muss natürlich bedenken, dass dieser Stufenplan auch nicht vollkommene Rechtssicherheit bietet, aber er dokumentiert zumindest gegenüber einer Behörde sich ernsthaft mit diesem Thema auseinanderzusetzen.

Was raten Sie derzeit Ihren Kunden, die Ihre Consent Management Lösung, WebCare im Einsatz haben?

WebCare kann natürlich im angeführten Stufenplan eine sehr wichtige Rolle spielen, da sowohl die Informationspflichten als auch eine Einwilligungslösung über den integrierten Tag Manager abgebildet werden können.

Wir raten unseren Kunden die Informationspflichten auf US Datenübermittlung bezogen, anzupassen und zu erweitern. Wir liefern mit WebCare onboard juristisch geprüfte Texte mit und erleichtern unseren Kunden dadurch die Umsetzung ihrer Pflichten.

Google Analytics und Facebook Pixel sollten unbedingt und ausschließlich nur mit Zustimmung gestartet werden. Mit dem bei uns integrierten Tag Manager lässt sich das einfach handhaben und man braucht nicht zusätzlich den Google Tag Manager (wieder ein US Tools) um dies abbilden zu können.

Um für eine erweiterte Transparenz zu sorgen, erwähnen wir bei den Tools explizit, dass eine Übermittlung von Daten in die USA erfolgt.

Darüber hinaus haben wir umgehend einen Passus in unsere Standard-Datenschutzerklärung bei WebCare aufgenommen (Datenübermittlung in die USA – Wegfall des Privacy Shields), welcher unseren Kunden automatisch zur Verfügung gestellt wird. Um für Transparenz zu sorgen, haben wir die Anpassung der Informationspflichten unmittelbar nach Urteilsveröffentlichung vorgenommen.

Dennoch ist es aber wichtig, dass unsere Kunde verstehen, dass die angepassten Informationspflichten trotzdem nicht jedes Risiko ausschließen.

Bei sehr exponierten Kunden ist das Risiko natürlich höher und es muss jedenfalls der Kunde, als Webseitenbetreiber, selber entscheiden, ob er die sichere Variante (US Tools raus, europäische Alternativen rein) wählt. Als Technologie-Anbieter können wir lediglich die Risiken und Möglichkeiten aufzeigen, aber nicht für den Kunden entscheiden.

Welche Alternativen gibt es, aus Ihrer Perspektive, zu den derzeit eingesetzten US Tools, bzw. welche Maßnahmen können Unternehmen treffen um auf der sicheren Seite zu sein?

Die sicherste Variante wäre wie bereits gesagt, die US Tools (Google Analytics, Facebook) vorübergehend zu deaktivieren und auf Nutzerdaten zu verzichten bzw. sich eine europäische Alternative zu suchen. Man sollte jedenfalls europäische Alternativen evaluieren und auch testen und nicht die Augen verschließen und sich einfach dem Schicksal ergeben.

Man sollte auch, Google und Facebook anschreiben, auf die Gefahr hin keine Antwort zu bekommen, um in Erfahrung zu bringen, wie die Garantien aus den Standardvertragsklauseln sichergestellt werden, insbesondere wie es sichergestellt ist, dass US Behörden nicht einfach so auf Daten von EU-Bürgern zugreifen können. Meines Wissens, kursieren solche Schreiben an die Hersteller bereits als Vorlagen im Netz.

Grundsätzlich stellt sich die Frage, was die großen US Anbieter wie Google und Facebook den europäischen Kunden anbieten werden. Ich gehe davon aus, dass demnächst auch technische Lösungen kommen werden.

Was raten Sie Ihren Kunden überdies hinaus?

Zusammenfassend betrachtet, rate ich dazu noch nicht alles umzuwerfen, was auf der Website nunmehr aufgebaut wurde. Es sollten jedoch die erwähnten flankierenden Maßnahmen getroffen werden. Es ist derzeit noch nicht absehbar, was aus den Beschwerden tatsächlich wird und wie sich das Thema weiter entwickelt.

Wir bleiben auf alle Fälle dran um unseren Kunden die bestmöglichste Sicherheit zu bieten!

Autorenprofil

Robert Reitmann, Jahrgang 1976, absolvierte die EDV HTL in Leonding und schloss das Studium der Rechtswissenschaften an der Johannes Kepler Universität in Linz ab. Seit seinem Studium befasst er sich mit der Kombination IT und Recht und arbeitete in diesem Thema bereits für viele renommierte Industrieunternehmen. Als Gründungsmitglied der DataReporter GmbH, ist es ihm ein Anliegen, die Automatisierung auch im rechtlichen Bereich, insbesondere im Datenschutz, umzusetzen. In seiner Funktion als Chief Legal Officer ist er für Kunden und Partner direkter Ansprechpartner und für die Weiterentwicklung der Datenschutzmanagement-Software unter sich ständig ändernden rechtlichen Rahmenbedingungen verantwortlich.

DataReporter GmbH
Zeileisstraße 6
A – 4600 Wels
T: +43 7242 677 00 20
M: contact(at)datareporter.eu
www.datareporter.eu
www.cookiebanner.at

Entdecken Sie WebCare - die Consent Management Platform - für die datenschutzkonforme Umsetzung Ihres Webauftritts!

DataReporter hat WebCare für die Umsetzung der ePrivacy Richtlinie entwickelt, welche Ihnen dabei hilft, Ihr Consent Management zu automatisieren 

  • inkl. Cookie Banner (anpassbar an Ihr Corporate Design),
  • zentral verwaltbare & automatisierte Datenschutzerklärung (automatisierte Darstellung aller kategorisierten Cookies und juristisch geprüfter Module),
  • zentral verwaltbares Impressum
  • und integrierter Tag Manager 
  • für eine hundertprozentige Datenschutz-Konformität Ihres Webauftritts, laut dem BGH Urteil.

Automatisierung ist wunderbar und mit Kontrolle einfach unschlagbar, weil

  • durch einen Freigabeprozess
  • und eine Benutzerverwaltung,
  • werden die Vorteile der Automatisierung mit der letztendlichen Entscheidung des Verantwortlichen vereint.

Alles im und auf einen Blick,

  • durch die Mandantenfähigkeit, 
  • d.h. es können mehrere Organisationen (Domains) in einer Lizenz verwaltet werden.

Sie möchten mehr über WebCare erfahren? Für eine direkte Kontaktaufnahme schreiben Sie uns bitte unter contact@datareporter.eu oder kontaktieren Sie uns telefonisch +43 7242 677 00 20

Wir freuen uns auf Sie!
Ihr DataReporter Team

Bildquelle: Titelbild pixabay