Im Juli hat der Europäische Gerichtshof den “Privacy Shield” gekippt. In dieser Vereinbarung war geregelt, zu welchen Bedingungen Unternehmen mit Sitz in den USA personenbezogene Daten aus der EU in die USA übertragen und dort speichern dürfen.

Für Betreiber von Websites ist das wichtig, weil heutzutage eigentlich keine Website mehr ohne US-Dienste auskommt. Dazu gehören die großen Social Media-Plattformen (z.B. Facebook, Twitter, LinkedIn), Anzeigen-Netzwerke (Google Ads, Facebook Pixel etc.), Tracking-Dienste (z.B. Google Analytics) sowie Musik- und Video-Plattformen (Youtube, Vimeo, SoundCloud etc.) und z.B. auch das Amazon-Partnerprogramm.

Was bedeutet das nun konkret? Wir haben den Juristen Udo Meisen gefragt, der den meisten von Euch über sein Engagement in der WordPress-Community bekannt sein dürfte.

NETZIALISTEN: Seit Juli 2020 gilt das Privacy-Shield-Abkommen nicht mehr. Wir betreiben verschiedene Websites – besteht jetzt dringender Handlungsbedarf für uns? Müssen wir ganz schnell und sofort etwas tun?

UDO MEISEN: Um ehrlich zu sein: Ich bin bei dieser Frage etwas zwiegespalten. Zum einen war das Ende des Privacy Shields durch das jetzt verkündete Urteil des Europäischen Gerichtshofs ein Ende mit Ansage. Der Europäische Gerichtshof hat schon vor fünf Jahren, als er „Safe Harbour“, das Vorgänger-Abkommen des Privacy Shields, gekippt hat, die bestehenden Defizite im europäisch-amerikanischen Datenverkehr aufgezeigt. Die wurden aber mit dem Privacy Shield nicht ausgeräumt. Stattdessen wurde nur Zeit gekauft, indem der alte Wein „Safe Harbour“ in einen neuen Schlauch gefüllt und als „Privacy Shield“ umetikettiert wurde.

Das Problem bei der Sache ist halt, dass die damit gewonnene Zeit nicht genutzt wurde. Im Gegenteil wurden in den letzten Jahren die US-Vorschriften gegenüber Ausländern – und damit auch gegenüber EU-Bürgern – weiter angezogen und die EU-Bürger gegenüber der staatlichen Datenschnüffelei in den Vereinigten Staaten nahezu rechtlos gestellt.
Zum anderen besteht nach wie vor ein großes Bedürfnis zum Datenaustausch innerhalb der europäischen und amerikanischen Volkswirtschaft, die stark miteinander vernetzt sind. Dieses Bedürfnis lässt sich auch nicht durch ein Ende des Privacy Shields beseitigen.

Genau diese Zwiegespaltenheit zeigt sich auch in den Stellungnahmen z.B. der deutschen Landesdatenschutzbeauftragten, die von einem (unausgesprochenen) „Wir warten auf die Nachfolgelösung“ bis zu einem Berliner „Es müssen sofort alle Daten zurück in die EU geholt werden!“ reicht. Und genau mit diesem Zwiespalt müssen wir derzeit auch bei unseren Online-Aktivitäten leben. Uns muss bewusst sein, dass viele Anwendungen derzeit nicht mehr so einfach legal nutzbar sind, während es gleichzeitig aber auch noch keine sichere – und funktional gleichwertige – Alternative gibt.

NETZIALISTEN: Das heißt: Es ist alles ziemlich unklar und bleibt noch eine ganze Weile so?

UDO MEISEN: Sicher ist jedenfalls nur eines: Die Unsicherheit wird noch eine längere Zeit anhalten. Nachdem der Europäische Gerichtshof im Oktober 2015 die Vorgängerregelung „Safe Harbour“ gekippt hatte, dauerte es ungefähr ein halbes Jahr, bis das „Privacy Shield“ vereinbart war. Auch jetzt haben bereits wieder Verhandlungen zwischen der EU-Kommission und der US-Regierung über eine Nachfolgeregelung begonnen. In Anbetracht des derzeitigen US-Wahlkampfs glaube ich aber kaum, dass es hier in den nächsten Monaten schon zu einer Lösung kommt. Wann bzw. ob es überhaupt zu einer akzeptablen Lösung kommen kann, hängt dabei  sicherlich zum Teil auch vom Ausgang der US-Wahl ab. Denn ein nochmaliges einfaches „Umetikettieren“ dürfte angesichts der klaren Diktion des Europäischen Gerichtshof nicht mehr funktionieren. Erforderlich sind diesmal substantielle Zugeständnisse der US-Seite. Also aus heutiger Sicht: Ende offen.

NETZIALISTEN: Irgendeine Idee, wohin die Reise geht?

UDO MEISEN: Eine Lösung hat der Europäische Gerichtshof auf den ersten Blick offen gelassen: Die so genannten “Standardvertragsklauseln”. Dies sind von der EU vorformulierte Vertragsklauseln, die den Datenaustausch mit Drittstaaten ermöglichen sollen. Diese Standardvertragsklauseln werden also nicht nur im Datenverkehr mit den USA verwendet, sondern auch mit allen möglichen anderen Drittstaaten. Weshalb der Europäische Gerichtshof auch davon abgesehen hat, sie ebenfalls für unwirksam zu erklären. Allerdings hat der EuGH gleichzeitig ausdrücklich darauf hingewiesen, dass die Verwendung dieser Standardvertragsklauseln den Anwender nicht von der Prüfung entbindet, ob in dem Zielland aufgrund der dort bestehenden staatlichen Überwachung durch derartige vertragliche Regelungen überhaupt ein angemessenes Datenschutzniveau hergestellt werden kann. Einfach gesagt: Wenn der Staat Zugriff auf die Daten nehmen darf, schützt davor auch keine vertragliche Regelung.

NETZIALISTEN: Die Standardvertragsklauseln sind also recht günstig für die Anbieter?

Könnte man so sagen. Jedenfalls stellen alle möglichen amerikanischen Anbieter, die bisher auf das Privacy Shield gesetzt haben, nun auf die Standardvertragsklauseln um. Und auch, wenn die Standardvertragsklauseln derzeit von der EU-Kommission unter anderem als Reaktion auf das “Privacy Shield”-Urteil überarbeitet werden, muss jedem muss bewusst sein, dass auch dies nur ein Spiel auf Zeit ist.

NETZIALISTEN: „Spiel auf Zeit“ heisst…

UDO MEISEN: Das Risiko trägt der Datenübermittler. Also der Website-Betreiber, der Newsletter-Betreiber, der Online-Händler.

NETZIALISTEN: Wie schön. Was wären die wichtigsten Punkte, um die wir uns deiner Meinung nach jetzt kümmern sollten?

UDO MEISEN: Zuerst einmal das Offensichtliche: Soweit Dienste genutzt werden, wo die US-Anbieter auf die Standardvertragsklauseln umstellen – also etwa Google, Microsoft etc. – müssen auch die entsprechenden Passagen in den Datenschutzerklärungen angepasst werden.
Soweit sensible Daten verarbeitet werden ist eine erneute Risikobewertung vorzunehmen. Also mal nachdenken, ob es den Dienst wirklich braucht.
Soweit möglich, sollte überlegt werden, ob der Datentransfer auf der Basis einer Einwilligung oder zur Erfüllung eines Vertrages erfolgen kann.

NETZIALISTEN: Oh nein, schon wieder eine Einwilligung?

Ja. Aber diesmal ist es nicht ganz so schlimm, denn in den meisten Fällen braucht es kein weiteres Cookie-Banner. Sondern höchstens eine Anpassung des bereits genutzten.

Grundlage ist Artikel 49 DSGVO. Danach ist die Übermittlung personenbezogener Daten in ein Drittland (hier also in die USA) notfalls auch möglich, wenn “die betroffene Person … in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt [hat], nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.” Oder wenn die Übermittlung ”für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich” ist.

NETZIALISTEN: Hast du mal ein Beispiel?

UDO MEISEN: Wenn auf einer Website Google Analytics eingesetzt wird, war bisher schon eine Einwilligung nötig. Zum einen aus ePrivacy-Gründen, weil ein Cookie gesetzt wird, zum anderen aus Datenschutzgründen wegen der Datenübermittlung an Google. Und nein, Google Analytics ist keine Auftragsverarbeitung, auch wenn Google das immer noch vertritt, aber das ist ein anderes Problem.
Jetzt kommt halt noch die dritte Einwilligung hinzu, dass die Daten zu Google in die USA übertragen werden dürfen. Erforderlich ist hierfür ein zusätzlicher Hinweis im Cookie-Banner. Also nur ein Hinweis mehr. Das dürfte wohl für jeden Websitebetreiber machbar sein. 

Alternativ kann ich die jetzige Situation natürlich auch dazu nutzen zu überlegen, ob ich Google Analytics überhaupt benötige. Oder ob ich nicht mit einem selbstgehosteten Matomo (das es zumindest für nicht so besucherstarke Websites inzwischen auch komplett als WordPress-Plugin gibt) genauso gut bedient bin. Oder ob mir nicht sogar die Auswertungen eines datenschutzmäßig völlig unproblematischen Plugins wie Statify reichen.

NETZIALISTEN: Statify nutzen wir viel. Es gibt dazu auch einen Artikel hier im Blog.

UDO MEISEN: Diese Umstellungen, wie ich sie gerade für Analytics aufgezeigt habe, können so natürlich auch für andere Dienste angestellt werden. Generell gilt hier: Für US-basierte Dienste, die bisher datenschutzrechtlich zulässig genutzt werden durften, findet sich in der Regel auch eine Möglichkeit. Zumindest für die Übergangszeit. Und wer bisher Dienste einsetzte, die sowieso schon datenschutzrechtlich “problematisch” – oder schlichtweg unzulässig – waren, dem wird hier eine Möglichkeit geboten, dieses Problem gesichtswahrend zu reparieren.

NETZIALISTEN: Wie sieht das mit Online-Meetings aus?

UDO MEISEN: Hier gibt es eigentlich nur zwei Möglichkeiten: Entweder entscheidet man sich für einen selbstgehosteten Dienst wie beispielsweise Jitsi, deren Hosting durchaus nicht trivial ist und die meist auch sehr schnell an ihre Teilnehmergrenzen kommen. Oder man muss den Dienst eines US-Anbieters nutzen. Auch hier gilt: Bei der Anmeldung sollte auf die Nutzung des US-Dienstes und auf den Transfer den Daten in die USA hingewiesen werden. Dann ist die Nutzung auf der Grundlage einer Einwilligung oder in Erfüllung eines Vertrags relativ unproblematisch. Fun-Fact am Rande: Der EU-Datenschutzausschuss nutzt für seine Videokonferenzen selbst einen US-Dienst.

NETZIALISTEN: Was meinst du, sollen wir uns mittelfristig vom amerikanischen Newsletter-Versender trennen oder kann man da abwarten? Man könnte ja vermuten, dass die Anbieter Interesse haben, ihre europäischen Kunden nicht zu verlieren und ihrerseits neue Lösungen anbieten.

UDO MEISEN: Wenn das mit den US-Newsletter-Anbietern und ihrem Interesse an europäischen Kunden nur so einfach wäre. Einer der großen US-Anbieter hatte in den letzten Jahren durchaus erste Ansätze, seine europäischen Kunden über eine irische Tochtergesellschaft (und in der EU beheimatete Server) zu bedienen. Teilweise fand sich die irische Tochtergesellschaft sogar schon als Anbieter auf seiner Website. Heute ist davon nichts mehr zu sehen – offensichtlich war der Aufwand dann doch zu groß.

Tatsächlich ist ein US-basierter Newsletter-Dienst aber noch relativ gut handhabbar, weil und solange nur eingeschränkt Daten übertragen werden. Grundsätzlich ist ja nur die Mail-Adresse erforderlich. Und zur Personalisierung und auf freiwilliger Basis noch der Name. Das lässt sich eigentlich ganz gut über eine Einwilligung bei der Newsletter-Anmeldung abbilden.
Wer sich in der Vergangenheit hier an die Empfehlung der Datenschützer gehalten hat, hat auch bisher schon bei der Anmeldung auf die Verarbeitung durch ein US-Unternehmen hingewiesen und eine entsprechende Einwilligung eingeholt, so dass auch kein Problem mit dem Altbestand an Anmeldungen besteht.

Das gilt grundsätzlich auch, wenn die Auswertungsdienste des Newsletter-Dienstes genutzt werden. Auch diese Datenerhebung und -verarbeitung kann mittels Einwilligung erfolgen. Wobei es natürlich immer eine gute Idee ist zu überlegen, inwieweit diese Auswertungen überhaupt benötigt werden. Wer bisher da kaum reingeschaut hat, sollte die Auswertemöglichkeiten einfach abschalten.

NETZIALISTEN: Ganz schön unübersichtlich. Jetzt haben wir fast mehr Fragen als vorher. Wo kann man sich denn zum Thema informieren?

UDO MEISEN: Derzeit finden sich viele Informationen im Netz, aber auch viele Halb- und Falschinfos. Generell gilt: Nicht verrückt machen lassen. Regelmäßig auf die Website des für Euer Bundesland zuständigen Landesdatenschutzbeauftragten schauen: Da finden sich mehr Informationen als viele vermuten. Und in den meisten Bundesländern sind die Infos auch aktuell und hilfreich.

Und alle, die nicht nur lesen, sondern auch hören und sich austauschen wollen, können auch gerne einen Blick auf das Angebot der WebJustiz-Seminare werfen. Dort finden sich unter anderem Online-Seminare zum Datenschutz. Bei Bedarf – wie zum Beispiel nach dem EuGH-Urteil – auch kurzfristig.