EuGH erklärt sog. Privacy-Shield für ungültig! Wie ist nun zu verfahren?

EuGH erklärt sog. Privacy-Shield für ungültig! Wie ist nun zu verfahren?
17.07.2020 | Lesezeit: 5 min

Der EuGH hat mit gestrigem Urteil das EU-US-Datenschutzschild (sog. Privacy-Shield) für ungültig erklärt! Konsequenz: Datentransfers in die USA, welche allein auf Basis dieses Privacy-Shields erfolgen sollen, sind damit unzulässig. Wir geben nachfolgend unseren Mandanten eine genaue Handlungsanleitung - inklusive Risikoeinschätzung.

A. Ist das EuGH-Urteil für Sie überhaupt relevant?

Viele Online-Händler bzw. Gewerbetreibende sind von der neuen EuGH-Entscheidung nicht betroffen und müssen daher auch nicht weiter tätig werden. Aber wie findet man für sich selber raus, ob man nun aktiv werden muss oder nicht?

Wir empfehlen folgende Vorgehensweise:

Kostenfreies Bewertungssystem SHOPVOTE

I. Prüfen Sie zunächst, ob Sie grundsätzlich betroffen sind!

Sie haben sich nur für den Fall mit dem aktuellen EuGH-Urteil auseinanderzusetzen, dass Sie

  • eine Facebook-Präsenz
  • eine gewerbliche Hompage ohne Bestellfunktion
  • einen eigenen Online-Shop
  • eine Pinterest-Präsenz
  • eine Youtube-Präsenz

betreiben und entsprechende Datenschutzerklärungen im Einsatz haben.

Nicht betroffen sind dagegen Händler, die ausschließlich über Plattformen wie Amazon, eBay, Etsy, Kasuwa etc. Waren verkaufen.

II. Prüfen Sie, ob Sie nachfolgende Dienste einsetzen, die sich auf das Privacy-Shield stützen

Nur bei denjenigen Mandanten gibt es einen konkreten Handlungsbedarf, die einen oder mehrere der nachfolgenden Dienste im Einsatz bzw. in ihrer Datenschutzerklärung geregelt haben:

1. Hosting-Anbieter

  • Ecwid
  • Shopify
  • Squarespace
  • Weebly

2. Content-Delivery-Network durch

  • Cloudfare
  • Fastly
  • Google Cloud
  • Jetpack
  • KeyCDN
  • Stackpath

3. Whatsapp Business

4. Single-Sign-On-Verfahren

  • Facebook Connect
  • Google Sign-In

5. Bei Nutzung von Kundendaten zur Direktwerbung durch

  • ActiveCampaign, LLC
  • Klaviyo
  • Mailchimp
  • SendGrid
  • Shopify Email
  • WhatsApp-Newsletter

6. Datenverarbeitungen zur Bestellabwicklung durch

  • Printful
  • Wix Payments als Paymentdienstleister

7. Social Plugins

  • AddThis
  • AddThis als Shariff-Lösung
  • Facebook
  • Facebook mit "2-Klick"
  • Instagram
  • Instagram als Shariff-Lösung?
  • LinkedIn
  • LinkedIn als Shariff-Lösung
  • Pinterest-Plugins
  • Pinterest-Plugins als Shariff -Lösung
  • Twitter
  • Twitter mit 2-Klick-Lösung
  • Twitter als Shariff-Lösung

8. Verwendung von Videos

  • Vimeo-Videos
  • Youtube-Videos

9. Online-Marketing-Dienstleister

  • Facebook Custom Audience über Pixel-Verfahren
  • Google AdSense
  • Google Ads Conversion-Tracking
  • Google Marketing Platform (ehemals Doubleclick)

10. Webanalysedienste

  • Fullstory
  • Adobe Analytics (Omniture)
  • Google (Universal) Analytics
  • Google (Universal) Analytics OHNE Cookies
  • Jetpack
  • Lucky Orange
  • Netlify Analytics (Netlify Inc.)
  • New Relic
  • Optimizely
  • Squarespace Analytics

11. Retargeting durch

  • Bing Ads (Microsoft Corporation)
  • Bing Ads (Microsoft Corporation) Universal Event Tracking
  • Google Ads Remarketing
  • Pinterest-Retargeting-Pixel

12. Live-Chat-Systeme

  • Chatra (Roger Wilco LLC)
  • Freshchat
  • LuckyOrange
  • Zendesk

13. Sonstige Tools und Anbieter

  • CookiePro als Cookie-Consent-Tool
  • Adobe Fonts (Typekit) als Webfonts
  • Google Web Fonts
  • Google ReCaptcha
  • Google Kundenrezensionen
  • Bing Maps als Online-Kartendienst
  • Google Maps als Online-Kartendienst
  • Shopsync für Shopify
  • Wordfence als Security und Anti-Malware
  • LogRocket bei der Übermittlung von Fehlermeldungen
  • Zoom als Videokonferenz-Tool
  • Microsoft Teams als Videokonferenz-Tool

B. Sollten Sie betroffen sein...

Sollten Sie einen oder mehrere der oben aufgelisteten Dienste nutzen, so haben Sie im Augenblick nur zwei Möglichkeiten:

1. Möglichkeit: Kritische Dienste weiter verwenden

Sie verwenden weiterhin die nach dem Privacy-Shield zertifizierten Dienstleister und übermitteln somit auch weiterhin personenenbezogene Daten Ihrer Kunden/Seitenbesucher an diese Unternehmen.

Abmahnungen wären in diesem Fall grundsätzlich genauso denkbar und möglich wie Sanktionen durch Datenschutzbehörden. Aufgrund unserer Erfahrungen (z.B. Entscheidung des EuGH zum Safe-Harbor-Abkommen als Vorgänger des Privacy-Shields) gehen wir derzeit davon aus, dass zumindest in nächster Zeit aller Wahrscheinlichkeit nach kaum Bußgelder oder Abmahnungen erfolgen werden. Gleichwohl kann man die zukünftige Entwicklung nicht mit Sicherheit vorhersehen.

Vorgehensweise:

Sollten Sie diesem Weg folgen, also einen oder mehrere der oben aufgelisteten kritischen Dienste weiter verwenden wollen, so muss ihre Datenschutzerklärung aktualisiert werden. Überspielen Sie bitte aus diesem Grund die im Mandantenportal hinterlegte/n Datenschutzerklärung/en in Ihre jeweilige Präsenz/en. Sollten Sie unsere Datenschnittstelle (oder unseren Hosting-Service) im Einsatz haben, so bräuchten Sie nicht weiter tätig werden. Die Datenschutzerklärung wird automatisch überspielt.

2. Möglichkeit: Kritische Dienste abschalten (Empfehlung der IT-Recht Kanzlei)

Wer den sichersten Weg gehen möchte, sollte bis zur Klärung eines zulässigen Datentransfers in die USA davon absehen, die oben aufgelisteten Dienstleister einzusetzen.

Wichtig: Sollten Sie diesen Weg gehen wollen, so müssten Sie

  • sowohl die Verwendung der entsprechenden Online-Dienste einstellen, als auch
  • Ihre Datenschutzerklärung entsprechend neu konfigurieren (= die betroffenen Dienste abwählen)!

Bitte übertragen Sie die neue Datenschutzerklärung nach erfolgter Neukonfiguration in Ihre jeweilige Internetpräsenz. Sollten Sie unsere Datenschnittstelle im Einsatz haben, so bräuchten Sie nach erfolgter Neukonfiguration der Datenschutzerklärung nicht weiter tätig werden. Die Datenschutzerklärung wird automatisch überspielt.

Weitere Informationen zur Rechtsprechung des EuGH und den zu folgenden Konsequenzen können Sie in diesem Beitrag nachlesen!

Wir werden hier die weitere Entwicklung genau beobachten und Sie informieren, wenn sich weitere - bessere - Lösungsmöglichkeiten abzeichnen sollten.

Mit den Schutzpaketen der IT-Recht Kanzlei bleiben Sie durch den enthaltenen Update-Service juristisch immer auf dem Laufenden. Wir informieren Sie, wenn sich Änderungen an Ihren Rechtstexten ergeben, damit Sie dauerhaft rechtssicher anbieten können.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

5 Kommentare

S
S.Schaub 05.08.2020, 08:51 Uhr
Anpassung Datenschutzerkärung
Sie empfehlen bei Weiterverwendung der "kritischen" Tools die Anpassung der Datenschutzhinweise/Datenschutzerklärung. In der Datenschutzerklärung auf Ihrer Seite (it-recht-kanzlei) wird weiterhin auf das PrivacyShield abgestellt.
Ist das eine mögliche Option (unter Berücksichtigung des Art.49 - bis es sinnvolle Alternativen zum PS bzw. den Standardvertragsklauseln gibt) oder ein versehen.
Freu mich über ein kurzes Feedback.
R
R. Winkler 23.07.2020, 14:51 Uhr
Microsoft Teams als Videokonferenz-Tool
In den MS Bestimmungen für Onlinedienste Stand 1. April 2019 (Download hier: https://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=31), findet man auf Seite 9 die von diesen Bestimmungen abgedeckten Dienste, welche auch Office 365 inkl. MS Teams umfassen. Auf Seite 12 "Datenübertragungen und Speicherstelle" Absatz 2 schreibt MS sinngemäß, dass für Kundendaten aus der EU die Standardvertragsklauseln der Anlage 3 dieses Dokuments gelten (lt. EuGH grds. zulässig).
Zudem wirbt MS auf https://www.microsoft.com/de-de/microsoft-365/microsoft-365-local-datacenter damit, dass "Sobald Unternehmenskunden mit Sitz in Deutschland Microsoft 365 erwerben, werden ihre Daten automatisch in Deutschland gespeichert – ohne Zusatzkosten und mit dem gleichen Servicelevel." Wäre unter den eben erläuterten Aspekten ein Einsatz von MS Teams nicht zu bejahen?
Gruß R. Winkler
C
Christina Giebert 22.07.2020, 10:09 Uhr
Facebook abschalten?
Guten Morgen,

ich blicke noch nicht komplett durch. Ich habe ein kleines Nebengewerbe und nutze ausschließlich Facebook zur Präsentation und zum Verkauf. Mir bliebe jetzt also eigentlich nur, die Seite zu schließen um rechtssicher zu sein?
I
IT-Recht Kanzlei 21.07.2020, 11:00 Uhr
@ Herrn Alexander B.
Hallo Herr Alexander B., haben Sie vielen Dank für Ihren Kommentar!













Wir haben in unserem Artikel https://www.it-recht-kanzlei.de/eugh-priivacy-shield-ist-ungueltig.html auch darauf hingewiesen, dass die Rechtfertigungsmöglichkeiten einer Einwilligung bzw. der Standardvertragsklauseln bestehen. Allerdings: Es müsste im Rahmen der Einholung einer Einwilligung eine informierte Auklärung erfolgen, welche Daten zu welchen konkreten Zwecken in den USA verarbeitet werden. Genau diese Information dürfte in fast allen Fällen scheitern, da gerade nicht bekannt ist, welche Verarbeitungsvorgänge in den USA erfolgen. Ergo: Für diese Fälle kann sodann auch keine informierte Einwilligung eingeholt werden.

Zum Thema Standardvertragsklauseln: Hierbei wären Online-Händler auf die Bereitstellung derartiger Standardvertragsklauseln durch die us-amerikanischen Diensteanbieter angewiesen. Eine kurzfristige Bereitstellung dürfte hier nicht möglich sein. Wir hoffen Ihnen hiermit weitergeholfen zu haben!
A
Alexander B. 20.07.2020, 17:41 Uhr
Alternativen: Einwilligung oder Standardvertragsklauseln
Hallo, ich habe von einer anderen Website die Information, dass es neben dem Abschalten der Dienste auch noch zwei weitere Optionen gibt: 1. Einholen einer expliziten Einwilligung (Opt-In) durch den Besucher (unter vorheriger Aufklärung über das unzulängliche Schutzniveau im Drittland) oder 2. Durch Vereinbarung von Standardvertragsklauseln mit dem Anbieter im Drittland.



Wie sehen Sie das?

Weitere News

DSGVO: Müssen unbestätigte Newsletter-Adressen gelöscht werden?
(19.11.2024, 15:12 Uhr)
DSGVO: Müssen unbestätigte Newsletter-Adressen gelöscht werden?
Einbindung externer Videos per QR-Code datenschutzrechtlich zulässig?
(14.11.2024, 14:07 Uhr)
Einbindung externer Videos per QR-Code datenschutzrechtlich zulässig?
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
(24.10.2024, 08:34 Uhr)
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
Ist die Aufzeichnung von Kundentelefonaten nach DSGVO erlaubt?
(02.10.2024, 15:33 Uhr)
Ist die Aufzeichnung von Kundentelefonaten nach DSGVO erlaubt?
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
(01.08.2024, 14:29 Uhr)
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
(19.06.2024, 11:21 Uhr)
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
© 2004-2024 · IT-Recht Kanzlei