Datenschutz-News 09/2020
Aus aktuellem Anlass informieren wir Sie heute in einer Doppelausgabe ausführlich über den Einsatz von Google Analytics, der bundesweiten Kontrolle von Online-Trackingdiensten durch die Aufsichtsbehörden sowie weiteren aktuellen Ereignissen der letzten Wochen. Der Europäische Datenschutzausschuss (EDSA) hat am 05. Mai 2020 die Leitlinien zur Einwilligung in die Nutzung von Internetseiten aktualisiert und stellte klar, dass der Zugang zu einem Web-Service nicht abhängig von der Erlaubnis in das Setzen von sogenannten Cookies sein darf. Die Datenschutzaufsichtsbehörden haben vor dem Hintergrund des neuen Rechtsrahmens mit Geltung der DSGVO den Einsatz von Google Analytics neu bewertet. Das Urteil des Bundesgerichtshofs (BGH) vom 28. Mai 2020 ist eindeutig: Nutzer müssen dem Setzen von Tracking-Cookies – und damit der Sammlung personenbezogener Daten – aktiv zustimmen.
Nicht weniger aufsehenerregend war das Urteil des Europäischen Gerichtshofs (EuGH) zur Übermittlung personenbezogener Daten in Drittländer (‚Schrems II‘). Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy-Shields ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy-Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist.
EuGH-Urteil zur Unwirksamkeit des Privacy-Shields
Themengebiet: EU-US Privacy-Shield / EuGH-Urteil (‚Schrems II‘)
07.09.2020 - Orientierungshilfe des LfDI BW zum internationalen Datentransfer (2. Auflage)
03.09.2020 - Pressemitteilung BfDI zu Task Force für Beschwerden gegen Nutzung von Google- und Facebook-Services
25.08.2020 - Orientierungshilfe des LfDI BW zum internationalen Datentransfer (1. Auflage)
24.07.2020 - Pressemitteilung BfDI zu Antworten auf Fragen zu den Konsequenzen aus dem ‚Schrems II‘
Nach dem der EuGH sein Urteil (Rechtssache C-311/18 [‚Schrems II‘]) zur Unwirksamkeit des Privacy-Shields am 16. Juli 2020 getroffen hat, sowie zu den Problemen mit den EU-Standardvertragsklauseln bei Datenverarbeitungen in Ländern außerhalb der EU bzw. des EWR Stellung bezogen hat, möchten wir Ihnen erste Hinweise zum Handlungsbedarf geben.
Folge des Urteils des EuGH ist, dass z.B. die Inanspruchnahme von US-Dienstleistern, die nur auf Basis des sog. „Privacy-Shields“ erfolgt, seit dem 16.07.2020 unzulässig und ggf. damit rechtswidrig ist. Aus der Rechtswidrigkeit allein können wiederum unmittelbar Bußgeldrisiken resultieren, sodass hier zügig gehandelt werden muss, um diese Datenverarbeitungen entweder sofort einzustellen oder auf rechtlich andere „Füße“ zu stellen.
Normalerweise wäre die Alternative, dass mit den Dienstleistern auf die sog. EU‑Standardvertragsklauseln umgestellt wird. Auch wenn das im jetzigen Szenario die zunächst beste Möglichkeit wäre, ist es keine Dauerlösung. Denn auch die Verwendung der EU‑Standardvertragsklauseln wird im Falle der USA in vielen Fällen dazu führen, dass Aufsichtsbehörden bei einer Prüfung die jeweilige Datenverarbeitung als unzulässig einschätzen und ahnden können, solange nicht die USA bessere Rechtsschutzmöglichkeiten gegen staatliche Überwachung einräumen. Letzteres ist aber nicht in naher Zukunft zu erwarten.
Wir empfehlen Ihnen nun zunächst diese Schritte durchzuführen:
- Ermitteln Sie alle Dienstleister aus den USA, die Sie nutzen, und prüfen Sie, ob für die Übermittlung der Daten in die USA zur Gewährleistung des angemessenen Schutzniveaus allein auf eine „Privacy-Shield“-Zertifizierung des Dienstleisters gesetzt wurde oder ob die sog. EU-Standardvertragsklauseln vertraglich vereinbart worden sind.
- Wenn die Basis nur das „Privacy-Shield“ ist, prüfen Sie, ob Sie auf den Dienstleister verzichten und das Vertragsverhältnis kündigen können. Das EuGH-Urteil bietet hier ggf. die Möglichkeit einer fristlosen Kündigung.
- Wenn Sie auf den Dienstleister nicht verzichten können, dann schreiben Sie Ihren Ansprechpartner bei dem Dienstleister an, weisen auf das EuGH-Urteil zur Unwirksamkeit des „Privacy-Shields“ hin und fragen nach, ob kurzfristig der Abschluss der sog. EU-Standardvertragsklauseln möglich ist.
- Wenn der Dienstleister nicht bereit sein sollte, die EU-Standardvertragsklauseln abzuschließen, sollte der Dienstleister nach Möglichkeit nicht mehr eingesetzt werden.
- In bestimmten Fällen bleibt dann nur die Möglichkeit, auf in Art. 49 DSGVO enthaltene Ausnahmen zurückzugreifen. Die Aufsichtsbehörden wenden diese Norm jedoch sehr restriktiv an. Das wäre aber immer noch besser als keine Lösung.
- Passen Sie Verträge und Datenschutzhinweise (z.B. auf Ihrer Webseite) an und entfernen Sie die Hinweise auf das Privacy-Shield. (-> Verweisen Sie keinesfalls mehr auf das „Privacy-Shield-Abkommen“!)
- Im nächsten Schritt muss dann genau geschaut werden, wo welche EU-Standardvertragsklauseln (es gibt ja verschiedene Vertragsvarianten) am besten passen bzw. wo die Dienstleister selbst Vorschläge machen werden.
Anmerkung:
Jetzt von jedem Betroffenen eine Einwilligung einholen zu wollen, ist regelmäßig keine gute Lösung und sollte nur dann genutzt werden, wenn es keine anderen Alternativen gibt!
Abschließend kann noch nicht entschieden werden, welche Maßnahmen letztendlich umsetzbar sind. Dennoch gilt es schon jetzt auf den durch den EuGH verbindlich geregelten Datentransfer in nicht EU‑Länder vorbereitet zu sein. Es ist klar, dass eine Übermittlung von Daten in die USA auf Basis des Privacy-Shields allein ab sofort rechtswidrig ist.
Wie geht es jetzt weiter in Sachen internationaler Datentransfer?
Erste Reaktionen zu dem EuGH-Urteil vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, lesen Sie in der BfDI-Pressemitteilung.
Nach dem ‚Schrems II‘-Urteil des EuGH stellt sich auch die Frage, welche zusätzlichen Schutzmaßnahmen können bei der Verwendung von EU-Standardvertragsklauseln (in der „Processors“-Variante) mit US-Dienstleistern verwendet werden, um den Anforderungen des EuGH gerecht zu werden.
Sehr positiv ist, dass die Aufsichtsbehörde von Baden-Württemberg hier als erste Aufsichtsbehörde konkrete Empfehlungen veröffentlicht. Der LfDI Baden Württemberg gibt Hinweise und legt sein weiteres Vorgehen zum Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020, fest. Die Hinweise finden Sie auf den Seiten 9 bis 14 der Orientierungshilfe des LfDI BW zu ‚Schrems II‘.
Eine weitere Reaktion sind die am 03.09.2020 ins Leben gerufenen Task Forces des Europäischen Datenschutzausschuss (EDSA), die sich um eine einheitliche Bearbeitung von Beschwerden gegen Nutzung von Google- und Facebook-Services kümmern soll. Wie der EDSA des Weiteren mitteilte, bereite man aktuell zusätzliche Empfehlungen zum Treffen der vom EuGH bei Drittlandsverarbeitungen ggf. erforderlichen zusätzlichen Schutzmaßnahmen vor. Der EDSA verkündete weiter, dass er alles tun werde, um eine EWR-weit einheitliche Behandlung der Übermittlung personenbezogener Daten an Drittländer zu gewährleisten. In einer Pressemitteilung teile der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, nachfolgendes hierzu mit:
„Der EDSA sendet mit der Task Force ein starkes Signal. Die entscheidende Frage, ob diese Google- und Facebook-Services das europäische Datenschutzrecht einhalten, kann jetzt endlich europaweit einheitlich beantwortet werden.“
Die vollständige News inkl. Quellenangaben sowie weiteren Informationen zu den vorgenannten Bussgeldern können Sie als PDF hier herunterladen.