Privacy Shield

Praxis-Tipps zum Wegfall des EU-US-Privacy Shields

Das EuGH-Urteil vom 16.07.2020, mit dem das EU-US-Privacy Shield gekippt wurde, sorgt aktuell für Unsicherheiten in den Unternehmen. In unserem Blog-Beitrag Privacy Shield gekippt – das sagen die Aufsichtsbehörden dazu sammeln wir zu diesem Thema die Veröffentlichungen aus den Aufsichtsbehörden.

Haben Sie Handlungsbedarf?

Ja, wenn Sie:

  • Daten-Dienstleistungen (Auftragsverarbeitungen) an US-Unternehmen ausgelagert haben – egal ob diese die Daten für Sie in der EU, USA oder in einem anderen Land verarbeiten.
    • Beispiele: Microsoft 365, Web-Technologien von US-Anbietern oder in denen Dienstleistungen von US-Subunternehmer inkludiert sind, die Sie auf Ihren Webseiten eingebunden haben
  • Datendienstleister (Auftragsverarbeiter) beauftragt haben, die wiederum US-Subunternehmen für die Leistungserbringung einsetzen.

***************************************************************************

Update 05.10.2021: Die Aufsichtsbehörde Baden-Württemberg hat ihre Orientierungshilfe zum internationalen Datentransfer zum vierten Mal überarbeitet: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/10/OH-int-Datentransfer.pdf

***************************************************************************

Update: Am 01.06.2021 haben einige Aufsichtsbehörden eine entsprechende Kontroll-Kampgane bzgl. der Umsetzung des EuGH-Urteils gestartet und entsprechende Fragebögen an Unternehmen versandt. Die Fragebögen finden Sie in unserem Blog-Artikel https://mb-datenschutz.de/2021/06/aufsichtsbehoerden-kontroll-kampagne/

***************************************************************************

 

Was ist jetzt zügig zu tun?

Nach Priorität:

1. Prüfen Sie Ihre Webseite:

    • Prüfen Sie, ob Sie US-Tools (Statistiken, Plug-Ins wie Webfonts etc.) für Ihre Webseite nutzen.
    • Prüfen Sie, ob die Zwecke dieser Tools noch immer erforderlich für Sie sind. Misten Sie aus: Entfernen Sie alle Tools, auf die Sie verzichten können.
    • Prüfen Sie, ob es Alternativen für die Tools gibt, auf deren Ergebnisse und/oder Funktionen Sie nicht verzichten möchten. Alternativen wären z.B:
      • Statistic-Tools und Fonts selbst hosten
      • Tools, die keine Daten in Drittstaaten senden
    • Wenn Sie Alternativen gefunden haben, tauschen Sie die Tools entsprechend aus.
    • Für die Fälle, für die es Ihrer Ansicht nach keine Alternativen gibt, sollten Sie prüfen, ob Sie bisher entsprechende Einwilligungen von Ihren Webseiten-Besuchern aktiv eingeholt haben und diese Tools auch wirklich erst nach erteilter Einwilligung aktiv werden. Ausnahmen sind hierbei technisch essentielle Cookies und Logs, die der Sicherheit Ihrer Webseite dienen. Diese sind i.d.R. aber auch nicht amerikanischer Natur.
      • Wenn Sie noch keinen Consent-Banner im Einsatz haben, benötigen Sie diesen von nun an. Achten Sie darauf, dass dieser weder Ihr Impressum noch die Navigation zu Ihren Datenschutz-Texten verdeckt.
      • Wenn Sie bereits einen Consent-Banner im Einsatz haben, prüfen Sie bitte, ob dieser neu konfiguriert werden muss. Sprich, alle amerikanischen Tools/Cookies, denen die Besucher bisher auf Ihrer Webseite lediglich widersprechen (Opt-out) konnten, sind ab sofort nur noch mittels Einwilligung (Opt-in) nutzbar.
        • Anforderungen an wirksame Einwilligungen sind bzgl. der Datenübermittlung in Drittstaaten, in denen kein entsprechendes Datenschutz-Niveau herrscht, hoch, da diese auch über die Risiken für den Betroffenen transparent Auskunft geben müssen, siehe Seite 7-10 der europäischen Umsetzungs-Leitlinie: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_de.pdf.
          Es ist momentan umstritten, ob überhaupt eine wirksame Einwilligung eingeholt werden kann, wenn ein Betroffener damit auf seine Grundrechte verzichtet und ihm auch keine Rechtsbehelfe in solchen Ländern zustehen, was momentan durch das gekippte Privacy Shield ohne andere wirksame Garantien und Maßnahmen der relevanten Dienstleister der Fall ist. Bis zur Klärung ist es auf jeden Fall ratsam, keinesfalls bei einer Widerspruchsmöglichkeit (Opt-out) zu bleiben.

2. Aktualisieren Sie die Datenschutz-Texte auf Ihrer Webseite:

    • Für alle de-implementierten Tools löschen Sie bitte die entsprechenden Text-Passagen in Ihrer Datenschutzerklärung.
    • Für alle neuen Tools können Sie uns gerne kontaktieren. Wir liefern Ihnen dann entsprechende DSGVO-konforme Textvorschläge, die Sie nutzen können. Bitte geben Sie uns hierfür den Namen des Tools/Plug-ins an und ggf. einen entsprechenden Link zu dessen Funktionsweise. Sollten Sie noch kein Kunde von mb-datenschutz sein, nutzen Sie bitte unseren individuellen Webseiten-Check.
    • Für alle US-amerikanischen Tools, die Sie von Opt-Out auf Opt-In umstellen, müssen Sie an der entsprechenden Textstelle die Rechtsgrundlage von Art. 6 (1) f DSGVO auf Art. 49 (1) a DSGVO aktualisieren. Außerdem müssen Sie Textpassagen entfernen, in denen das Privacy Shield erwähnt wird.

3. Führen Sie eine generelle Dienstleister-Bestandsaufnahme durch:

    • Machen Sie eine Bestandsaufnahme, welche Daten Sie von US-Unternehmen verarbeiten lassen. Hierbei ist ein gut geführtes und aktuelles Dienstleisterkataster und/oder Ihr Verarbeitungsverzeichnis hilfreich.
        • Empfehlung, soweit noch nicht geschehen: Ergänzen Sie generell sowohl den Firmensitz (Land) Ihrer Dienstleister und an welchem Standort (Land) Ihre Dienstleister Ihre Daten verarbeiten.
    • Aktualisieren Sie Ihr Dienstleisterkataster gleich um die Dienstleister, die Sie ggf. von nun an von Ihrer Webseite verbannt haben.
    • Prüfen Sie, ob es für Ihre weiteren US-Dienstleister europäische Alternativ-Anbieter gibt und Ihnen ein Wechsel möglich ist. Wenn ja, leiten Sie den Dienstleisterwechsel ein.
    • Das können Sie aktuell tun: Nehmen Sie Kontakt mit den verbleibenden US-Dienstleistern auf, von denen Sie sich (momentan) nicht trennen können. Hierfür hat Max Schrems (der erfolgreiche Kläger vor dem EuGH) für Sie entsprechende Musterbriefe vorbereitet, die Sie zu Ihrer Verwendung abrufen können: https://noyb.eu/de/naechste-schritte-fuer-eu-unternehmen-faqs?mtc=twv217 – parallel werden auch die Datenschutzbehörden demnächst weitere Informationen und Orientierungen veröffentlichen – abwarten wäre also auch eine Option, jedoch nicht ganz risikolos:
      • Stellungnahme des Europäischen Datenschutzausschusses vom 17.07.2020
      • Aus den deutschen Aufsichtsbehörden:
        „Was machen die Datenschutzaufsichtsbehörden?
        Die deutschen und die europäischen Aufsichtsbehörden arbeiten zusammen, um das Urteil des EuGH einheitlich zu verstehen und umzusetzen. Sie arbeiten auch an Empfehlungen für die Rechtsanwender. Der Europäischen Datenschutzausschuss bietet der EU-Kommission Unterstützung an, wenn es darum geht, einen neuen Rahmen für Datenübermittlungen in die USA zu erstellen. Der Europäische Datenschutzausschuss prüft zudem, welche Zusatzmaßnahmen getroffen werden könnten für den Fall, dass Standarddatenschutzklauseln für ein bestimmtes Ziel-Land noch keine ausreichenden Garantien bieten. Insgesamt wird der Europäischen Datenschutzausschuss an Leitlinien für Rechtsanwender arbeiten, die das Urteil berücksichtigen. Die deutschen Aufsichtsbehörden arbeiten an den Entscheidungen des Europäischen Datenschutzausschusses mit und koordinieren sich in Deutschland. Mit Beschwerden von betroffenen Personen werden sich die Aufsichtsbehörden befassen und sie angemessen untersuchen. Leitlinien und allgemeine Beratung veröffentlichen wir sobald wie möglich auf unseren Internetseiten.“ Quelle: https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Schrems-II/Schrems-II.html

Es sind nicht grundsätzlich alle Datenexporte in die USA verboten, jedoch bedarf es seit dem Urteil entsprechender zusätzlicher Garantien und technischer organisatorischer Maßnahmen seitens der Dienstleister, die die Dienstleistung weiterhin rechtskonform macht. Es wird jedoch Dienstleister geben, die diese Dinge aktuell nicht erfüllen können, da sie sonst gegen US-Recht verstoßen würden. An dieser Stelle ist auch die Politik gefordert, was jedoch entsprechende Zeit in Anspruch nehmen wird. Sollte es nach (gekipptem) Safe Harbor und (gekipptem) Privacy Shield zu einem neuen Abkommen kommen, stellt sich auch hier wieder die Frage nach der Halbwertszeit dieser Maßnahme. Jedes EU-Unternehmen sollte daher grundsätzlich in sich gehen und seine Auftragsvergaben gegenüber US-Dienstleistern generell überdenken.

4. Schauen Sie voraus:
Nehmen Sie auch Dienstleister in anderen Drittstaaten ins Visier:

Nach den US-Unternehmen sollten Sie auch alle anderen Dienstleister ins Visier nehmen, die für Sie personenbezogene Daten in sogenannten Drittstaaten verarbeiten, hierzu gehören alle Staaten außer:

  • Andorra
  • Argentinien
  • Kanada
  • Färöer
  • Guernsey
  • Israel
  • Isle of Man
  • Jersey
  • Neuseeland
  • Schweiz
  • Uruguay
  • Japan

Ab 01.01.2021 wird aufgrund des BREXITs voraussichtlich auch Großbritannien zu den Drittstaaten gehören, denen die EU-Kommission ein angemessenes Datenschutzniveau abspricht. => UPDATE: Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten aus der EU in das Vereinigte Königreich liegt zwischenzeitlich vor: https://datenschutz.hessen.de/datenschutz/internationales/angemessenheitsbeschl%C3%BCsse

Wenn Sie mit Daten-Dienstleistern in Drittstaaten zusammenarbeiten, nehmen Sie das aktuelle Urteil zum Anlass und prüfen Sie, ob die Möglichkeit besteht, diese durch EU-Dienstleister auszutauschen.

5. Treffen/Aktualisieren Sie Ihre internen Regelungen zur Beauftragung von Dienstleistern:

Aktualisieren Sie Ihre internen Richtlinien/Anweisungen zur Beauftragung von Dienstleistern, die bereits eine DSGVO-konforme Dienstleisterauswahl sicherstellen.

Haben Sie weitere Fragen, dann freuen wir uns über Ihre Kontaktaufnahme.