Unwirksames Privacy Shield Abkommen – Was Sie jetzt tun sollten

Mit Sicherheit haben Sie die Woche bereits davon gelesen: das EuGH hat mit einem Urteil vom 16.07.2020 das Privacy Shield-Abkommen mit den USA für unwirksam erklärt.

 

Das hört sich erst einmal unspektakulär an, hat aber im Rahmen des Datenschutzes und der DSGVO weitreichende Auswirkungen.
Wir haben Ihnen nachfolgend eine Zusammenfassung vorbereitet, was das Urteil genau bedeutet und was getan werden sollte

 

Die Folgen des Urteils im Überblick:

 

  • bei allen Datenempfängern, die ihren Sitz in den USA haben, muss geprüft werden, ob entsprechende Verträge auf Basis des Privacy-Shield-Abkommens oder auf Basis sogenannter Standardvertragsklauseln (Standard Contractual Clauses – SCCs) zustande gekommen sind
  • dient das Privacy-Shield-Abkommen als Basis, ist eine Datenübermittlung tatsächlich illegal
  • dienen die Standardvertragsklauseln (eigentlich: Standarddatenschutzklauseln – https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/Auftragsverarbeiter_2010_87_EU_v._5.2.10_DE.pdf bzw. https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/Auftragsverarbeiter_2010_87_EU_v._5.2.10_EN.pdf) als Basis, so ist die Datenübermittlung legal – wenn sichergestellt ist, dass diese im Empfängerland der Daten eingehalten werden. Diese Standarddatenschutzklauseln müssen laut EuGH noch erweitert werden, sind aber trotzdem in der aktuellen Fassung gültig. Allerdings müssen die Standarddatenschutzklauseln unverändert in die jeweiligen Verträge übernommen worden sein
  • das bedeutet auch, dass Cloud-Dienste, bei denen die Server nachweislich in den USA stehen (z.B. Dropbox) auf keinen Fall mehr im geschäftlichen Umfeld benutzt werden dürfen. WeTransfer behauptet, dass Uploads aus europäischen Ländern mit europäischer IP-Adresse auf europäischen Servern gespeichert werden. Sie haben aber auch Server in den USA (auf denen evtl. ein Backup gemacht wird!?), sodass auch darauf verzichtet werden muss.

 

Welche Dienste sind u.a. betroffen?

 

  • Social Media
    Facebook-Connect, Facebook Plugins, Twitter Plugin, Instagram Plugin, Tumblr Plugin, LinkedIn Plugin, XING Pinterest Plugin
  • Tracking-Dienste
    Google Analytics, WordPress Stats
  • Ad Networks
    Google Ads, Google Adsense, Google Adsense (nicht personalisiert), Google Remarketing, Google Conversion Tracking, Google Doubleclick, Facebook Pixel
  • Newsletter-Anbieter
    MailChimp, MailChimp mit deaktivierter Erfolgsmessung, ActiveCampaign
  • Musik-/Videoplattformen
    YouTube, YouTube mit erweitertem Datenschutz, Vimeo, Vimeo ohne Tracking, SoundCloud, Spotify
  • Zahlungsanbieter
    Stripe, PayPal, Klarna, Sofortüberweisung, Paydirekt
  • Videokonferenz-Tools
    Zoom, Skype for Business, GoToMeeting, Microsoft Teams, Google Hangouts, Google Meet
  • Sonstige Tools
    Google Web Fonts, Adobe Fonts, Google Maps, Google reCAPTCHA, Amazon Partnerprogramm

 

Lösungsansätze:

 

  • Erstellen Sie eine Liste, welcher Datenverkehr über die Standarddatenschutzklausel abgedeckt ist und welcher über das Privacy Shield.
  • Verwenden Sie Mustertexte, wie z.B. hier und fragen Sie bei Unternehmen, deren Daten in den USA verarbeitet werden, die US-Partner oder EU-Partner mit US-Beziehungen haben, an
  • Setzen Sie, sofern dies bei den jeweils genutzten Diensten möglich, eine Ende-zu-Ende-Verschlüsselung ein, sodass kein Dritter (im Extremfall man auch selbst nicht) auf den Klartext der Daten zugreifen kann

 

 

Sie haben noch Fragen zum Privacy Shield Abkommen oder benötigen Unterstützung bei der Umsetzung der empfohlenen Lösungsansätze? Kontaktieren Sie uns gerne!