Icon Datenschutzbeauftragter
Datenschutz

Das Scheitern des EU-US Privacy Shield (12.08.2020)

Simon Lang
Verfasst von: Simon Lang
Produktmanager

Das EuGH-Urteil (Schrems II) ist noch keinen Monat alt – umso logischer erscheint es, dass vielerorts noch immer Unsicherheit herrscht, wie nun weiter verfahren werden soll. Es werden Stimmen laut, die davon ausgehen, dass es zeitnah ein neues Abkommen zwischen der EU und den USA geben wird.

Das EuGH-Urteil (Schrems II) ist noch keinen Monat alt – umso logischer erscheint es, dass vielerorts noch immer Unsicherheit herrscht, wie nun weiter verfahren werden soll. Es werden Stimmen laut, die davon ausgehen, dass es zeitnah ein neues Abkommen zwischen der EU und den USA geben wird. Und egal ob es „Safe Shield“, „Privacy Harbor“ oder einfach „Privacy Shield 2.0“ heißen wird – noch existiert dieses neue Abkommen nicht. Verantwortliche Unternehmen sollten sich daher auch nicht auf ein zukünftiges Abkommen stützen und argumentieren:

Es wird schon etwas Neues kommen, ich halte besser die Füße besser komplett still und schließe bis dahin meine Augen!“

Handlungsbedarf besteht spätestens seit dem 16.07.2020. Die Möglichkeiten haben wir Ihnen in den letzten Wochen aufgezeigt. Diese Woche möchten wir mit Ihnen ein wenig mehr in die Praxis eintauchen und uns gezielt Verarbeitungen anschauen, die vielerorts weiterhin wissentlich oder unwissentlich durchgeführt werden. Und „für jedermann“ einsehbar sind: die Verarbeitung von personenbezogenen Daten auf Webseiten.

Welche personenbezogenen Daten werden auf Webseiten überhaupt verarbeitet?

Auf dem ersten Blick kann eine Webseite gänzlich ohne personenbezogene Daten auskommen – müsste man meinen. Damit jedoch der Browser eines Nutzers mit dem Webserver des Anbieters kommunizieren kann, müssen IP-Adressen ausgetauscht werden. Denn schließlich muss der Webserver wissen, welche Seite an welchen Nutzer ausgeliefert werden soll. Und genau wie Ihre postalische Adresse sind auch IP-Adressen als personenbezogene Daten zu werten. So lange kein weiterer externer Dienst mitliest und der Austausch der IP-Adresse lediglich zwischen dem Webserver des Verantwortlichen und des Nutzers stattfindet, ist dies unkritisch. Datenschutzrechtlich spannend wird es jedoch, wenn der Webserver bei einem Dienstleister in einem Drittland gehostet wird (z.B. AWS) oder man z.B. das Verhalten des Users verfolgen möchte – am besten sogar webseitenübergreifend. Die Frage nach „Woher kommt mein User, wie bewegt er sich auf der Webseite, an welcher Stelle springt er wieder ab“ können für Mitarbeitende aus den Marketingabteilungen äußerst relevant sein. Schließlich möchte man sein Angebot attraktiv gestalten und sich dahingehend verbessern, dass sich die Kennzahlen stetig verbessern. Spätestens hier kommen dann oftmals US-Dienstleister ins Spiel, z.B. Google Analytics.

Diese Dienstleister haben früh erkannt, dass o.g. Informationen äußerst wichtig und lukrativ sind. Und das nicht nur für denjenigen, der die Webseite betreibt, sondern auch für den Dienstleister selbst. Also wurden schon früh kostenlose oder kostengünstige Angebote geschaffen, die für jeden Werbefachmann unumgänglich sind. Um den Benutzer jedoch verfolgen zu können, braucht solch ein Analysetool die IP-Adresse des Benutzers bzw. es müssen Cookies platziert werden. Und schon findet eine Übermittlung der personenbezogenen Daten (in diesem Fall die IP-Adresse) statt – ohne dass es der Benutzer oder der Webseitenbetreiber merkt.

Google Analytics ist nur eines von unzähligen Beispielen, wohl aber das bekannteste. Dasselbe gilt für Social-Media-Plugins (Facebook, Twitter, LinkedIn, usw.), Werbetracker (DoubleCklick, Adobe Audience Manager, usw.) und das Einbinden von Karten (Google Maps, Apple Maps, usw.).

Wann besteht Handlungsbedarf?

Jede Verarbeitung von personenbezogenen Daten benötigt, neben einem legitimen Zweck, auch eine gültige Rechtsgrundlage.

Die Webseite wird selbst gehostet und Drittanbieter sind nicht eingebunden

In diesem Fall besteht kein Handlungsbedarf (vorausgesetzt die Webseite verfügt über ein gültiges Impressum und einer Datenschutzerklärung).

Die Webseite wird selbst gehostet, es werden Drittanbieter eingebunden

Mit den Drittanbietern sind Verträge zur Auftragsverarbeitung zu schließen. Sofern es sich bei den Drittanbietern um Dienstleister außerhalb der EU (Drittland) handeln, sind Rechtsgrundlagen für die Übermittlung zu schaffen. Diese könnten z.B. daraus bestehen, dass es einen Angemessenheitsbeschluss der EU im Drittland gibt, der Dienstleister Standardvertragsklauseln anbietet oder der Nutzer der Webseite der Übermittlung zustimmt (mittels Consent-Manager).

Die Webseite wird bei einem Dienstleister in der EU gehostet, Drittanbieter sind nicht eingebunden

Wird die Webseite nicht selbst gehostet, ist mit dem Dienstleister ein Vertrag zur Auftragsverarbeitung zu schließen. Es sollte sichergestellt sein, dass der Auftragsverarbeiter keine weiteren Subdienstleister einsetzt, die Ihren Sitz außerhalb der EU haben. Andernfalls muss sichergestellt sein, dass es gültige Rechtsgrundlagen für die Einbindung des Subdienstleisters gibt (z.B. Angemessenheitsbeschluss der EU, Standardvertragsklauseln).

Achtung: Viele US-amerikanische Dienstleister haben Tochtergesellschaften in Europa – nicht wenige davon sind in Irland beheimatet. Dennoch können Daten über die Tochter- an die Muttergesellschaft übermittelt werden (z.B. Backups etc.). Bei der Muttergesellschaft handelt es sich in diesem Fall um einen Subdienstleister – eine gültige Rechtsgrundlage muss geschaffen werden!

Die Webseite wird bei einem Dienstleister außerhalb der EU gehostet, Drittanbieter sind ebenfalls eingebunden.

Neben einem gültigen Vertrag zur Auftragsverarbeitung (im englischen: Data Processing Agreement – DPA) benötigt man mit dem Hoster auch eine Rechtsgrundlage für die Übermittlung der personenbezogenen Daten. Hier kommen wieder Standardvertragsklauseln, ein Angemessenheitsbeschluss der EU oder die informierte Einwilligung des Nutzers in Frage. Gleiches gilt für das Einbinden von Drittanbietern: AV-Vertrag, evtl. inklusive einer Rechtsgrundlage für die Übermittlung in ein Drittstatt (Standardvertragsklauseln, Angemessenheitsbeschluss oder Einwilligung).

Wie sollten Sie vorgehen?

Schritt 1: Verschaffen Sie sich Gewissheit, wo Ihre Webseite gehostet wird

Merkmal

Handlungsbedarf

Sie hosten selbst:

Kein Handlungsbedarf

Für das Hosting wird ein externer Dienstleister mit Sitz in der EU eingesetzt (ohne Verbindung zu Dienstleistern in Drittstaaten):

Abschluss eines Vertrags zur Auftragsverarbeitung

Für das Hosting wird ein externer Dienstleister mit Sitz in der EU eingesetzt (mit Verbindung zu (Sub)Dienstleistern in Drittstaaten):

Abschluss eines Vertrags zur Auftragsverarbeitung;

Sicherstellen, dass gültige Rechtsgrundlagen für die Einbindung der Subdienstleister existieren (Standardvertragsklauseln, Angemessenheitsbeschluss)

Für das Hosting wird ein externer Dienstleister außerhalb der EU eingesetzt:

Abschluss eines Vertrags zur Auftragsverarbeitung / DPA inkl. Sicherstellung der Rechtmäßigkeit der Übermittlung (Standardvertragsklauseln, Angemessenheitsbeschluss)

 

Schritt 2: Verschaffen Sie sich Gewissheit, ob externe Dienste eingebunden sind

Merkmal

Handlungsbedarf

Es sind keine externen Dienste eingebunden:

Kein Handlungsbedarf

Es sind externe Dienste eines Dienstleisters mit Sitz in der EU eingebunden (ohne Verbindung zu (Sub)Dienstleistern in Drittstaaten

Abschluss eines Vertrags zur Auftragsverarbeitung

Es sind externe Dienste eines Dienstleisters mit Sitz in der EU eingebunden (mit Verbindung zu (Sub)Dienstleistern in Drittstaaten):

Abschluss eines Vertrags zur Auftragsverarbeitung;

Sicherstellen, dass gültige Rechtsgrundlagen für die Einbindung der Subdienstleister existieren (Standardvertragsklauseln, Angemessenheitsbeschluss)

Es sind externe Dienste eines Dienstleisters mit Sitz in einem Drittland eingebunden:

Abschluss eines Vertrags zur Auftragsverarbeitung / DPA inkl. Sicherstellung der Rechtmäßigkeit der Übermittlung (Standardvertragsklauseln, Angemessenheitsbeschluss)

Achtung!

Wenn es sich bei einem eingebundenen Dienst um ein Tracking-Tool handelt, muss zwingend die Einwilligung durch den Benutzer eingeholt werden. Ausnahme besteht nur, wenn das Tracking-Tool on Premise (d.h. selbst gehostet) wird.


Schritt 3: Consent Manager einbauen

Bauen Sie auf Ihre Webseite einen Consent Manager ein. Dieses ist insbesondere dann wichtig, wenn Sie einwilligungspflichtige Dienste und Cookies implementiert haben. Diese Dienste und Cookies sollten erst auslösen und gesetzt werden, wenn der Nutzer eine informierte Einwilligung erteilt hat.

Schritt 4: Datenschutzerklärung erstellen / überarbeiten

Erstellen Sie Ihre Datenschutzerklärung nach Maßgabe des Art. 13 DSGVO. Sofern Sie Daten an Dienstleister in oder außerhalb der EU übermitteln, geben Sie die Rechtsgrundlage für die Übermittlung und Verarbeitung an. Spätestens seit dem EuGH-Urteil sollte keine der Übermittlungen mehr auf Basis des EU-US Privacy Shield erwähnt und durchgeführt werden. Schaffen Sie andere, konforme Rechtsgrundlagen oder stellen Sie die Verarbeitung ein.

Praxistipp

Unser Cyber Security Experte Matthias Niedung einen „Webseiten-Check“ programmiert, der Ihnen die Arbeit zu großen Teilen abnehmen kann. Sprechen Sie uns gerne an, wenn Sie Ihre Webseite(n) geprüft haben möchten.

> 4. Sondernewsletter Ausgabe downloaden.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.