Am 16.07.2020 hat der Europäische Gerichtshof (EuGH) das Privacy Shield für unwirksam erklärt. Dieses Urteil betrifft unter anderem alle Webseitenbetreiber, die Dienste US-amerikanischer Unternehmen nutzen. In diesem Artikel erkläre ich dir, was das Urteil für dich als Webseitenbetreiber oder Agentur bedeutet und was du jetzt tun musst.

Rechtliche Ausgangslage

Jede Datenverarbeitung bedarf einer Rechtsgrundlage

Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage (Art. 6 Abs. 1 DSGVO). Die im Zusammenhang mit Websites wichtigsten Rechtsgrundlagen sind:

• Die Einwilligung des Betroffenen (zum Beispiel zum Setzen von Cookies);
• die Erfüllung einer vertraglichen Verpflichtung (zum Beispiel bei Onlineshops);
• das berechtigte Interesse des Verantwortlichen bzw. Webseitenbetreibers (zum Beispiel am Beantworten von E-Mail-Anfragen).

Die Einwilligung wird bei Websites klassischerweise mittels einer Checkbox eingeholt. Bestes Beispiel hierfür sind Cookie Banner, mittels derer der Webseitenbesucher in das Setzen bestimmter Cookies (zum Beispiel Marketing- oder Tracking-Cookies) einwilligt. Wer näheres hierzu erfahren will, wird in meinem Beitrag „Cookie-Banner – aber richtig! Diese 7 Dinge solltest du dabei beachten“ fündig.

Die vorstehend genannten Rechtsgrundlagen betreffen aber nur die eigentliche Datenverarbeitung an sich.

Zusätzliche Rechtsgrundlage für Datenübermittlungen ins außereuropäische Ausland erforderlich 

Sollen Datenverarbeitungen nicht in der EU, sondern im außereuropäischen Ausland – das heißt in einem sogenannten Drittland – erfolgen, bedarf es hierfür einer zusätzlichen Rechtsgrundlage.

Diese Rechtsgrundlagen für Übermittlungen personenbezogener Daten in Drittländer finden sich in den Art. 44 ff. DSGVO.

Für Webseitenbetreiber relevant sind vor allem sogenannte Angemessenheitsbeschlüsse der Europäischen Kommission (Art. 45 DSGVO).

Mit einem solchen beschließt die Kommission, dass ein Drittland ein angemessenes Datenschutzniveau bietet und personenbezogene Daten in das Drittland übermittelt werden dürfen.

Angemessenheitsbeschlüsse wurden in der Vergangenheit mit einer Vielzahl von Ländern getroffen, so zum Beispiel mit der Schweiz, Australien und Neuseeland. 

Das Privacy Shield

Das Privacy Shield war ein Angemessenheitsbeschluss der Europäischen Kommission für Datenübermittlungen in die USA. Er wurde im Juli 2016 und nur wenige Monate nach Aufhebung des Safe Harbor Abkommens (der Vorgängerregelung des Privacy Shield) durch den EuGH getroffen.  

Im Rahmen des Privacy Shield konnten sich US-Unternehmen freiwillig verpflichten, bei der Verarbeitung personenbezogener Daten aus der EU ein bestimmtes Datenschutzniveau einzuhalten. Nach dieser Zertifizierung durften Ihnen personenbezogene Daten aus der EU übermittelt werden.

Das Privacy Shield Urteil des EuGH

Anlass des EuGH-Urteils war ein Vorabentscheidungsersuchen des Irischen High Court an den EuGH, dem ein Verfahren des österreichischen Datenschutzaktivisten Maximilian Schrems gegen die Facebook Ireland Ltd. zu Grunde lag.

Mit seinem Urteil vom 16 Juli 2020 hat der EuGH das Privacy Shield für unwirksam erklärt. Damit sind ab sofort alle bisher auf das Privacy Shield als Rechtsgrundlage gestützten Übermittlungen personenbezogener Daten von der EU in die USA unzulässig.

Das klingt dramatisch – und ist es auch.

Die Folgen des Urteils für Webseitenbetreiber

Von den Folgen des Urteils dürfte fast jede Website betroffen sein. Denn in der Regel hat fast jede Website mindestens einen Dienst eines US-Unternehmens eingebunden, der nicht nur über europäische Tochtergesellschaften (wie zum Beispiel die Facebook Ireland Ltd. und die Google Ireland Ltd.) erbracht wird, sondern auch über die jeweilige US-amerikanische Muttergesellschaft (zum Beispiel die Facebook Inc. und die Google LLC).

Bei vielen dieser Dienste werden (evtl. in Abhängigkeit der getroffenen Voreinstellung) personenbezogene Daten in die USA übermittelt. Beispiele für solche Dienste sind:

• Google Dienste wie Google Analytics, Google Maps oder Google Fonts (sofern diese nicht lokal eingebunden sind);
• Newsletter-Dienste (z.B. Mailchimp);
• Social Media Plugins (Facebook, Instagram, YouTube, Twitter etc.)
• Cloud-Backup-Dienste;
• Onlineshop-Lösungen.

Hat ein Webseitenbetreiber seine Datenschutzerklärung korrekt erstellt, müsste sich dort für jeden Dienst, bei dem Datenübermittlungen in die USA stattfinden könnten, sinngemäß folgender Hinweis finden:

„Das US-Unternehmen XYZ verarbeitet Ihre personenbezogenen Daten auch in den USA und hat sich dem EU/US Privacy Shield unterworfen. Näheres zum Privacy Shield siehe unter: https://www.privacyshield.gov/EU-US-Framework.“

Mögliche alternative Rechtsgrundlagen für Datenübermittlungen

Die bisher auf Grundlage des Privacy Shield erfolgten Datenübermittlungen in die USA sind ab sofort bzw. bis zu einem neuen Angemessenheitsbeschluss der Kommission nur noch dann zulässig, wenn sie auf eine andere Rechtsgrundlage gestützt werden können.

Als solche kommen in Betracht:

Einwilligung des Betroffenen

Als Rechtsgrundlage kommt für Webseitenbetreiber vor allem die ausdrückliche Einwilligung des Betroffenen in Betracht (Art. 49 Abs. 1 lit a DSGVO). Voraussetzung ist jedoch, dass der Betroffene vor Erteilung der Einwilligung über die Risiken der Datenübermittlung unterrichtet wurde.

Übermittlung zur Vertragserfüllung

Denkbar ist auch, dass die Übermittlung der personenbezogenen Daten in die USA für die Erfüllung eines Vertrags zwischen dem Betroffenen (dem Webseitenbesucher) und dem Verantwortlichen (dem Webseitenbetreiber) erforderlich ist.

Allerdings reicht hierfür nicht aus, dass der Webseitenbetreiber für die Vertragsabwicklung den Dienst eines US-Unternehmens nutzen will (zum Beispiel ein US-amerikanisches Onlineshop-Plugin). Notwendig ist vielmehr, dass der Vertrag selbst einen US-amerikanischen Bezug hat, also zum Beispiel bei einem US-amerikanischen Webshop bestellt wird.

Standarddatenschutzklauseln der Europäischen Kommission

Nicht sehr wahrscheinlich ist, dass die Übermittlung personenbezogener Daten in die USA auf die von der Europäischen Kommission erlassenen Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO) gestützt werden können.

Die Standarddatenschutzklauseln sind Musterverträge, die zwischen einem in der EU ansässigen Datenexporteur und einem in einem Drittland ansässigen Datenimporteur geschlossen werden können. Mit diesen garantiert der außereuropäische Datenimporteur dem Datenexporteur, dass die übermittelten personenbezogenen Daten bei ihm ein der DSGVO vergleichbares Schutzniveau genießen.

In seinem Urteil zum Privacy Shield hat der EuGH zwar entschieden, dass die Standarddatenschutzklauseln an sich inhaltlich nicht zu beanstanden sind. Allerdings muss deren Einhaltung im Drittland auch effektiv durchgesetzt werden können.

Ob dies bei Datenübermittlungen in die USA tatsächlich möglich ist, erscheint äußerst zweifelhaft. Denn der EuGH hat den Privacy Shield unter anderem deshalb für unwirksam erklärt, weil EU-Bürger keine geeigneten Rechtsschutzmöglichkeiten gegen die Datenüberwachungsprogramme der US-amerikanischen Behörden hätten. Und diese Situation dürfte bei den Standarddatenschutzklauseln praktisch identisch sein.

Aus diesem Grund hat der EuGH in seinem Urteil auch entschieden, dass die Datenschutzaufsichtsbehörden verpflichtet sind, eine auf Standarddatenschutzklauseln gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie der Auffassung sind, dass die Standarddatenschutzklauseln im Drittland nicht eingehalten werden oder nicht eingehalten werden können. 

Daher ist damit zu rechnen, dass Datenübermittlungen in die USA, die auf die Standarddatenschutzklauseln gestützt würden, von den Datenschutzbehörden beanstandet und für unzulässig erklärt werden.

Was du als Webseitenbetreiber jetzt tun musst

Da ab sofort alle auf das Privacy Shield gestützten Übermittlungen personenbezogener Daten in die USA unzulässig sind, sollten Webseitenbetreiber folgende Maßnahmen umsetzen:

#1 Europäische Server auswählen

Einige US-Unternehmen bieten an, Ihre Dienste über europäische Server zu erbringen. Ist dies der Fall, sollten Webseitenbetreiber den europäischen Server auswählen.

#2 Einwilligungen der Betroffene einholen

Ist die Wahl eines europäischen Servers nicht möglich, sollte eine ausdrückliche Einwilligung des Betroffenen für die Übermittlung seiner personenbezogenen Daten in die USA eingeholt werden. Diese Einwilligung könnte wie beim Setzen von Cookies mittels einer Checkbox erfolgen.

Da jede Website, die Cookies setzt, über einen Cookie Banner mit entsprechenden Hinweisen und Checkboxen für das Setzen der einzelnen Cookies verfügen sollte, könnte dieser um weitere (Risiko)Hinweise und Checkboxen bezüglich der beabsichtigten Datenübermittlungen in die USA ergänzt werden. Wie bei jeder Checkbox ist natürlich darauf zu achten, dass der Webseitenbesucher die Checkbox selbst anklicken muss (Opt-In), da voreingestellt aktivierte Checkboxen (Opt-Out) nach der Rechtsprechung des Bundesgerichtshofs unzulässig sind.

Der einzige „Nachteil“ dieser Einwilligungs-Lösung ist zugegebenermaßen, dass der entsprechende Dienst auf der Website nicht aktiv sein darf, wenn die Einwilligung nicht erteilt wird.

Was das bedeutet, sei hier kurz am Beispiel von Google Fonts erläutert:

Manchmal werden Google Fonts nicht lokal auf der Website eingebunden, sondern erst beim Aufruf der Seite vom Webbrowser von den Google Servern geladen. Erfolgt dies bei einem amerikanischen Google Server, werden die Webbrowser-Daten, also personenbezogene Daten des Webseitenbesuchers, an diesen Google Server in den USA übermittelt.

Es ist bereits fraglich, ob das Nachladen der Google Fonts überhaupt auf ein berechtigtes Interesse des Webseitenbetreibers gestützt werden kann (ich persönlich habe da große Zweifel), da die Google Fonts eben auch lokal eingebunden werden können. Aber selbst wenn man dieses berechtigte Interesse annehmen würde, bedürfte es einer zusätzlichen Rechtsgrundlage für die Übermittlung der personenbezogenen Webbrowser-Daten an die amerikanischen Google Server. Diese zusätzliche Rechtsgrundlage war bisher das Privacy Shield. Da dieses nunmehr unwirksam ist, bedürfte es für das Nachladen der Google Fonts von amerikanischen Google Servern jetzt einer Einwilligung des Webseitenbesuchers. Würde diese nicht erteilt werden, dürften die Google Fonts nicht nachgeladen werden.

Damit sollten Google Fonts spätestens ab jetzt zwingend lokal auf der Webseite eingebunden werden.

#3 Datenschutzerklärung anpassen

Wichtig ist, die Datenschutzerklärung an die neue Rechtslage anzupassen.

Da die Datenschutzerklärung die auf einer Website stattfindenden Verarbeitungen personenbezogener Daten vollständig und richtig wiedergeben muss, ist nicht ausreichend, lediglich die bisherigen Hinweise auf den Privacy Shield zu löschen – zumindest wenn die entsprechenden Dienste weiter genutzt werden.

Tatsächlich sollte – wenn die Datenübertragung nunmehr auf die Einwilligung des Webseitenbesuchers gestützt wird – dies auch entsprechend genannt werden. Zudem wäre im Fall der Einwilligung auch darzustellen, welche Risiken mit der Datenübermittlung in die USA verbunden sind, nämlich dass die in die USA übermittelten personenbezogenen Daten im Rahmen amerikanischer Datenüberwachungsprogramme durch US-Behörden ausgewertet werden und EU-Bürgern insofern keine geeigneten Rechtsschutzmöglichkeiten zur Verfügung stehen.

Ausblick

Nachdem der EuGH das Safe Harbor Abkommen für unwirksam erklärt hatte, dauerte es nur wenige Monate, bis die Europäische Kommission das Privacy Shield mit den USA ausgehandelt hatte.

Aufgrund der nicht zu unterschätzenden Bedeutung des transatlantischen Datenaustauschs wird es sicherlich auch dieses mal nicht lange dauern, bis eine neue Regelung gefunden und die Europäische Kommission einen neuen Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA fassen wird.

Und wenn dieser die Bedenken des EuGH aufgreift und mehr Datenschutz für EU-Bürger in den USA schafft, ist dies auch für Webseitenbetreiber eine gute Sache.