EuGH erklärt sog. Privacy-Shield für ungültig! Wie ist nun zu verfahren?
Der EuGH hat mit gestrigem Urteil das EU-US-Datenschutzschild (sog. Privacy-Shield) für ungültig erklärt! Konsequenz: Datentransfers in die USA, welche allein auf Basis dieses Privacy-Shields erfolgen sollen, sind damit unzulässig. Wir geben nachfolgend unseren Mandanten eine genaue Handlungsanleitung - inklusive Risikoeinschätzung.
Inhaltsverzeichnis
- A. Ist das EuGH-Urteil für Sie überhaupt relevant?
- I. Prüfen Sie zunächst, ob Sie grundsätzlich betroffen sind!
- II. Prüfen Sie, ob Sie nachfolgende Dienste einsetzen, die sich auf das Privacy-Shield stützen
- 1. Hosting-Anbieter
- 2. Content-Delivery-Network durch
- 3. Whatsapp Business
- 4. Single-Sign-On-Verfahren
- 5. Bei Nutzung von Kundendaten zur Direktwerbung durch
- 6. Datenverarbeitungen zur Bestellabwicklung durch
- 7. Social Plugins
- 8. Verwendung von Videos
- 9. Online-Marketing-Dienstleister
- 10. Webanalysedienste
- 11. Retargeting durch
- 12. Live-Chat-Systeme
- 13. Sonstige Tools und Anbieter
- B. Sollten Sie betroffen sein...
- 1. Möglichkeit: Kritische Dienste weiter verwenden
- 2. Möglichkeit: Kritische Dienste abschalten (Empfehlung der IT-Recht Kanzlei)
A. Ist das EuGH-Urteil für Sie überhaupt relevant?
Viele Online-Händler bzw. Gewerbetreibende sind von der neuen EuGH-Entscheidung nicht betroffen und müssen daher auch nicht weiter tätig werden. Aber wie findet man für sich selber raus, ob man nun aktiv werden muss oder nicht?
Wir empfehlen folgende Vorgehensweise:
I. Prüfen Sie zunächst, ob Sie grundsätzlich betroffen sind!
Sie haben sich nur für den Fall mit dem aktuellen EuGH-Urteil auseinanderzusetzen, dass Sie
- eine Facebook-Präsenz
- eine gewerbliche Hompage ohne Bestellfunktion
- einen eigenen Online-Shop
- eine Pinterest-Präsenz
- eine Youtube-Präsenz
betreiben und entsprechende Datenschutzerklärungen im Einsatz haben.
Nicht betroffen sind dagegen Händler, die ausschließlich über Plattformen wie Amazon, eBay, Etsy, Kasuwa etc. Waren verkaufen.
II. Prüfen Sie, ob Sie nachfolgende Dienste einsetzen, die sich auf das Privacy-Shield stützen
Nur bei denjenigen Mandanten gibt es einen konkreten Handlungsbedarf, die einen oder mehrere der nachfolgenden Dienste im Einsatz bzw. in ihrer Datenschutzerklärung geregelt haben:
1. Hosting-Anbieter
- Ecwid
- Shopify
- Squarespace
- Weebly
2. Content-Delivery-Network durch
- Cloudfare
- Fastly
- Google Cloud
- Jetpack
- KeyCDN
- Stackpath
3. Whatsapp Business
4. Single-Sign-On-Verfahren
- Facebook Connect
- Google Sign-In
5. Bei Nutzung von Kundendaten zur Direktwerbung durch
- ActiveCampaign, LLC
- Klaviyo
- Mailchimp
- SendGrid
- Shopify Email
- WhatsApp-Newsletter
6. Datenverarbeitungen zur Bestellabwicklung durch
- Printful
- Wix Payments als Paymentdienstleister
7. Social Plugins
- AddThis
- AddThis als Shariff-Lösung
- Facebook mit "2-Klick"
- Instagram als Shariff-Lösung?
- LinkedIn als Shariff-Lösung
- Pinterest-Plugins
- Pinterest-Plugins als Shariff -Lösung
- Twitter mit 2-Klick-Lösung
- Twitter als Shariff-Lösung
8. Verwendung von Videos
- Vimeo-Videos
- Youtube-Videos
9. Online-Marketing-Dienstleister
- Facebook Custom Audience über Pixel-Verfahren
- Google AdSense
- Google Ads Conversion-Tracking
- Google Marketing Platform (ehemals Doubleclick)
10. Webanalysedienste
- Fullstory
- Adobe Analytics (Omniture)
- Google (Universal) Analytics
- Google (Universal) Analytics OHNE Cookies
- Jetpack
- Lucky Orange
- Netlify Analytics (Netlify Inc.)
- New Relic
- Optimizely
- Squarespace Analytics
11. Retargeting durch
- Bing Ads (Microsoft Corporation)
- Bing Ads (Microsoft Corporation) Universal Event Tracking
- Google Ads Remarketing
- Pinterest-Retargeting-Pixel
12. Live-Chat-Systeme
- Chatra (Roger Wilco LLC)
- Freshchat
- LuckyOrange
- Zendesk
13. Sonstige Tools und Anbieter
- CookiePro als Cookie-Consent-Tool
- Adobe Fonts (Typekit) als Webfonts
- Google Web Fonts
- Google ReCaptcha
- Google Kundenrezensionen
- Bing Maps als Online-Kartendienst
- Google Maps als Online-Kartendienst
- Shopsync für Shopify
- Wordfence als Security und Anti-Malware
- LogRocket bei der Übermittlung von Fehlermeldungen
- Zoom als Videokonferenz-Tool
- Microsoft Teams als Videokonferenz-Tool
B. Sollten Sie betroffen sein...
Sollten Sie einen oder mehrere der oben aufgelisteten Dienste nutzen, so haben Sie im Augenblick nur zwei Möglichkeiten:
1. Möglichkeit: Kritische Dienste weiter verwenden
Sie verwenden weiterhin die nach dem Privacy-Shield zertifizierten Dienstleister und übermitteln somit auch weiterhin personenenbezogene Daten Ihrer Kunden/Seitenbesucher an diese Unternehmen.
Abmahnungen wären in diesem Fall grundsätzlich genauso denkbar und möglich wie Sanktionen durch Datenschutzbehörden. Aufgrund unserer Erfahrungen (z.B. Entscheidung des EuGH zum Safe-Harbor-Abkommen als Vorgänger des Privacy-Shields) gehen wir derzeit davon aus, dass zumindest in nächster Zeit aller Wahrscheinlichkeit nach kaum Bußgelder oder Abmahnungen erfolgen werden. Gleichwohl kann man die zukünftige Entwicklung nicht mit Sicherheit vorhersehen.
Vorgehensweise:
Sollten Sie diesem Weg folgen, also einen oder mehrere der oben aufgelisteten kritischen Dienste weiter verwenden wollen, so muss ihre Datenschutzerklärung aktualisiert werden. Überspielen Sie bitte aus diesem Grund die im Mandantenportal hinterlegte/n Datenschutzerklärung/en in Ihre jeweilige Präsenz/en. Sollten Sie unsere Datenschnittstelle (oder unseren Hosting-Service) im Einsatz haben, so bräuchten Sie nicht weiter tätig werden. Die Datenschutzerklärung wird automatisch überspielt.
2. Möglichkeit: Kritische Dienste abschalten (Empfehlung der IT-Recht Kanzlei)
Wer den sichersten Weg gehen möchte, sollte bis zur Klärung eines zulässigen Datentransfers in die USA davon absehen, die oben aufgelisteten Dienstleister einzusetzen.
Wichtig: Sollten Sie diesen Weg gehen wollen, so müssten Sie
- sowohl die Verwendung der entsprechenden Online-Dienste einstellen, als auch
- Ihre Datenschutzerklärung entsprechend neu konfigurieren (= die betroffenen Dienste abwählen)!
Bitte übertragen Sie die neue Datenschutzerklärung nach erfolgter Neukonfiguration in Ihre jeweilige Internetpräsenz. Sollten Sie unsere Datenschnittstelle im Einsatz haben, so bräuchten Sie nach erfolgter Neukonfiguration der Datenschutzerklärung nicht weiter tätig werden. Die Datenschutzerklärung wird automatisch überspielt.
Weitere Informationen zur Rechtsprechung des EuGH und den zu folgenden Konsequenzen können Sie in diesem Beitrag nachlesen!
Wir werden hier die weitere Entwicklung genau beobachten und Sie informieren, wenn sich weitere - bessere - Lösungsmöglichkeiten abzeichnen sollten.
Mit den Schutzpaketen der IT-Recht Kanzlei bleiben Sie durch den enthaltenen Update-Service juristisch immer auf dem Laufenden. Wir informieren Sie, wenn sich Änderungen an Ihren Rechtstexten ergeben, damit Sie dauerhaft rechtssicher anbieten können.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
5 Kommentare
Ist das eine mögliche Option (unter Berücksichtigung des Art.49 - bis es sinnvolle Alternativen zum PS bzw. den Standardvertragsklauseln gibt) oder ein versehen.
Freu mich über ein kurzes Feedback.
Zudem wirbt MS auf https://www.microsoft.com/de-de/microsoft-365/microsoft-365-local-datacenter damit, dass "Sobald Unternehmenskunden mit Sitz in Deutschland Microsoft 365 erwerben, werden ihre Daten automatisch in Deutschland gespeichert – ohne Zusatzkosten und mit dem gleichen Servicelevel." Wäre unter den eben erläuterten Aspekten ein Einsatz von MS Teams nicht zu bejahen?
Gruß R. Winkler
ich blicke noch nicht komplett durch. Ich habe ein kleines Nebengewerbe und nutze ausschließlich Facebook zur Präsentation und zum Verkauf. Mir bliebe jetzt also eigentlich nur, die Seite zu schließen um rechtssicher zu sein?
Wir haben in unserem Artikel https://www.it-recht-kanzlei.de/eugh-priivacy-shield-ist-ungueltig.html auch darauf hingewiesen, dass die Rechtfertigungsmöglichkeiten einer Einwilligung bzw. der Standardvertragsklauseln bestehen. Allerdings: Es müsste im Rahmen der Einholung einer Einwilligung eine informierte Auklärung erfolgen, welche Daten zu welchen konkreten Zwecken in den USA verarbeitet werden. Genau diese Information dürfte in fast allen Fällen scheitern, da gerade nicht bekannt ist, welche Verarbeitungsvorgänge in den USA erfolgen. Ergo: Für diese Fälle kann sodann auch keine informierte Einwilligung eingeholt werden.
Zum Thema Standardvertragsklauseln: Hierbei wären Online-Händler auf die Bereitstellung derartiger Standardvertragsklauseln durch die us-amerikanischen Diensteanbieter angewiesen. Eine kurzfristige Bereitstellung dürfte hier nicht möglich sein. Wir hoffen Ihnen hiermit weitergeholfen zu haben!
Wie sehen Sie das?