Was ist jetzt zu tun?
Der Export von personenbezogenen Daten aus der EU heraus ist in der EU nur erlaubt, wenn der Datenschutz in dem Drittland dem nach der DSGVO gleichwertig ist. Das ist etwa für die Schweiz, Kanada oder Neuseeland festgestellt. Fast unlösbar scheint aber die Frage zu sein:
I. Darf ich US-Anbieter verwenden?
In den USA hat Datenschutz nicht den Stellenwert wie in Europa. Der Schutz von Daten ist nach hiesigen Maßstäben unzureichend, wie nicht zuletzt durch Edward Snowden offenbar geworden ist. US-Behörden, insbesondere Geheimdienste, können die personenbezogenen Daten von US-Anbietern heraus verlangen, Rechtsmittel dagegen sind nicht möglich. Es werden ggf. umfangreiche Profile angefertigt. Damit ist die entscheidende Voraussetzung für einen Datenexport in die USA, gleichwertiger Datenschutz, nicht gegeben. Also ist die Antwort: Nein, eigentlich nicht.
II. Na toll, eigentlich, also darf ich vielleicht doch US-Anbieter nutzen?
Genau, vielleicht, das ist die Antwort. Genauer gesagt: sogar 2-mal vielleicht! Denn natürlich gibt es ein überragendes Interesse fast aller Internet-Nutzer, US-Anbieter zu verwenden. Das Herz des Internets steht nach wie vor in den USA. Die großen Digitalkonzerne Google, Amazon und Facebook sowie viele andere Anbieter stammen aus Nordamerika. Oft hat man fast einen faktischen Zwang, einen US-Anbieter zu verwenden – man denke nur an Online Shopping mit Amazon oder Internet-Suche mit Google. Deshalb hat die EU-Kommission bereits zweimal versucht, eine Lösung zu finden – ist aber jetzt zum zweiten Mal an dem EuGH gescheitert.
1. Vielleicht: Safe Harbour
Also, der Export außerhalb der EU ist nur zulässig, wenn die EU-Kommission den Datenschutz eines Drittstaates als gleichwertig anerkennt. Um dies zu ermöglichen, erließ die Kommission im Jahr 2000 zunächst die Safe Harbour Entscheidung, wonach ein gleichwertiger Schutz gegeben sein sollte. Hiergegen klagte der österreichische Datenschutzaktivist Maximillian Schrems und bekam 2015 von dem EuGH recht. Da gab es das erste Mal die Konsequenz, dass praktisch alle EU Websites rechtswidrig waren – aus vielleicht war nein geworden.
2. Vielleicht: EU - US Privacy Shield
Also musste schnell eine neue Basis her und sie musste besser sein als Safe Harbour. Dazu versuchte sich die EU an einem zweiseitigen Datenschutzabkommen mit den USA. So richtig tiefes Verständnis für europäische Datenschutzsorgen vermochte die EU-Kommission jedoch nicht zu finden, schon gar nicht wirkliche Bereitschaft, US-Datenschutzgesetze zu verbessern (auf Ebene der Bundesstaaten ist das aber inzwischen der Fall, wie der neue California Consumer Privacy Act nach Vorbild der DSGVO beweist).
Daher kam ein echtes Abkommen nicht zustande. Es gab stattdessen eine Art Briefwechsel zwischen der EU und verschiedenen US-Institutionen, in denen diese einige Absichtserklärungen zum Datenschutz abgaben. Zudem wurden mit privacyshield.gov eine Institution und ein Ombudsmann in den USA geschaffen, die dafür sorgen sollten, dass in den USA der Datenschutz sich mirakulös verbessert. Wer jemals diese Aneinanderreihung von Absichtserklärungen gesehen hat, hatte sicher von Anfang an Zweifel, dass das wirklich wirksam ist. Von daher wurde bei easyRechtssicher von Anfang an empfohlen, wo immer möglich, mit Alternativen zu arbeiten.
3. Und was ist real (passiert)?
Heute kam es, wie es kommen musste. Ein Österreicher wollte es erneut nicht glauben und klagte erneut – diesmal gegen Privacy Shield. Und Du ahnst es schon: Wieder rang David den Goliath nieder. Mit dem Urteil hat der EuGH auch privacy shield für rechtswidrig und damit unwirksam erklärt (inzwischen gibt es den Volltext des Urteils hier). Ganz überraschend befand das Gericht, dass ein paar Briefe keinen Datenschutz ersetzen.
Hier findest Du jedenfalls die Presseerklärung des EuGH zu dem Urteil vom 16.07.2020: https://twitter.com/EUCourtPress/status/1283668810374021121
III. Und was heißt das jetzt?
Genau bedeutet das juristisch, es gibt keine Entscheidung der Kommission mehr, die anerkennt, dass der Datenschutz in den USA mit dem in Europa gleichwertig ist. Damit darfst auch Du (ohne weitere Voraussetzungen) keine personenbezogenen Daten von EU-Bürgern mehr in die USA exportieren! Das heißt, praktisch jeder US-Dienst in Deinem Business ist nicht mehr zulässig. Google Analytics, Facebook, Instagram, Twitter, LinkedIn, Zoom, MS Office, MS Teams, Mailchimp, Active Campaign, Calendly, YouTube, Vimeo, Google Maps, Amazon Webservices, die Liste lässt sich fast beliebig mit Marktführern im Internet verlängern, sind jedenfalls nicht mehr ohne weiteres zulässig.
IV. Mein US-Anbieter sitzt aber in Irland – jetzt kann ich doch, oder?
Ja, das ist zumindest grundsätzlich ein guter Einwand. Viele US-Internet-Konzerne haben Ihre irischen Tochtergesellschaften nicht nur für die Steuern gegründet (von Apple grade mit Erfolg verteidigt), sondern auch zum Datenverarbeiter in der EU bestimmt. Theoretisch könnte damit ein Export der Daten vermieden sein. Nun ja, aber wirklich auch nur theoretisch. Im Detail hat der EuGH diesen Fall nicht entschieden. Aber glaubst Du, dass Dein US-Anbieter von Internet-Leistungen die Daten wirklich in Irland lässt?
Ein gutes Beispiel ist Google mit dem Dienst Google Analytics. Hier ist Anbieter der Leistung und Datenverarbeiter nicht Google USA, sondern Google Irland. (Noch) Erlaubt Google aber in seinen Vertragsbedingungen mit seinen Kunden (Dir als Betreiber der Website), dass die Daten von Google Irland an Google USA übertragen werden. Für diese interne Übertragung über Kontinente verweist Google (noch) auf Privacy Shield. Damit ist dieser Transfer unzulässig und damit per Datum des EuGH Urteils Google Analytics nicht mehr erlaubt.
Ebenso ist bzw. inzwischen (27.7.2020) war die Rechtslage für Microsoft. Microsoft hat aber bereits begonnen, Hinweise aufzunehmen, dass die interne Datenübertragung von Microsoft Irland an Microsoft USA nicht allein auf Privacy Shield beruht.
Damit ist klar, allein ein irischer Anbieter reicht nicht. Aber wir werden gleich bei der Betrachtung der Lösungen noch darauf kommen, wie das vielleicht doch funktionieren kann. Dir ist aber erst mal wenig geholfen. Selbst wenn Dein USAnbieter jetzt in Irland sitzt, heißt das nicht ohne weiteres, dass der Datenexport zulässig wäre.
V. Mein Anbieter hat Server in Europa – dann geht es aber doch?
Bei manchen US-Anbietern konnte man bereits vor dem Urteil des EuGH auswählen, dass die Daten auf Servern in der EU verarbeitet werden. Das allein reicht jedoch nicht aus. Sie dürfen dann eben auch tatsächlich nicht in die USA übertragen werden, zugleich muss gesichert sein, dass das US-Unternehmen nicht von dortigen Behörden ohne weiteres gezwungen werden kann, Daten herauszugeben. Ob und wie das gewährleistet ist oder werden kann, wird in Zukunft sicher noch zu diskutieren. Aberauch das ist eine Lösung, die nur auf Anbieterseite realisiert werden kann. Dir hilft das konkret im Moment nicht.
VI. Privacy Shield: Geht jetzt wirklich nichts mehr mit US-Anbietern?
Ja und – wie sollte es im Recht anders sein – nein. Es gibt immer noch Wege, wie Du trotz dem Aus für das EU - US Privacy Shield Abkommen einen US-Anbieter noch rechtswirksam verwenden darfst. Dafür müssen wir den Fokus ein wenig aufziehen. Denn eine Anerkennung zum gleichwertigen Datenschutz durch die EU-Kommission ist nur ein Weg, wie ein Datenexport aus der EU heraus zulässig sein kann. Es ist zwar der (bei weitem) einfachste, aber nicht der einzige Weg für einen zulässigen Datenexport. Es gibt noch zwei weitere Lösungen: Du kannst personenbezogen in die USA exportieren, wenn:
- Du von dem Betroffenen eine Einwilligung in die Weitergabe einholst (unter vorheriger Aufklärung über das unzulängliche Schutzniveau),
- Du mit dem Anbieter die Standardvertragsklauseln vereinbart hast.
1. Super, ich nehme die Einwilligung und alles ist gut?
Du kannst die Daten Deiner Nutzer und Kunden in die USA exportieren, wenn Du Deinen Nutzer in den Datenexport in die USA einwilligen lässt. Die Einwilligung sichert Deinen rechtssicheren Datenexport auch für die Zukunft ab. Hier bist Du unabhängig davon, was der EuGH, die Kommission oder Trump entscheiden. Aber klar, Du hast recht, wenn Du jetzt fragst: Wie soll ich denn zu jedem Datenexport vorher eine Einwilligung des Betroffenen einholen? Manchmal ginge das tatsächlich, vor allem etwa für Deinen Newsletter Anbieter. Da das Double-Opt-in ohnehin eine Einwilligung erfordert, kannst Du die Einwilligung zum Datenexport in die USA ohne weiteres gleich mit einholen. Natürlich hat die Einwilligung aber den Nachteil, dass für sie mehr Text und sogar eine Warnung vor dem Datenexport erforderlich ist. Das kann durchaus zu Lasten der Conversion gehen. Von wirklichem Nutzen ist die Einwilligung daher nicht. Für alle anderen Datenverarbeitungen kannst Du sie vorher nur schwer einholen, zudem müsstest Du sie jetzt erst mal von allen Kontakten nachträglich einholen, damit Du weiter machen darfst mit Deinem US-Anbieter.
2. Was sind denn Standardvertragsklauseln?
Daneben kann auch durch einen Vertrag der Export Deiner Daten in die USA erlaubt werden. Dieser Vertrag muss die Standardvertragsklauseln beinhalten. Sie gehen zurück auf einen Beschluss der EU-Kommission (ABl. L39/5 v. 12.02.2010). Danach kannst Du mit Deinem Anbieter in den USA einen Vertrag nach den Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter abschließen. Der Text findet sich in dem verlinkten Beschluss und darf nicht wesentlich verändert worden.
Zudem findest Du diesen Vertrag im Mitgliederbereich zu unserem Datenschutz Generator als Muster auf Englisch mit weiteren Ausfüllhinweisen. Der Vertrag muss ausgedruckt und an den Anbieter gesendet werden, der ihn dann unterzeichnet zurücksendet. Erst wenn dieser Vertrag unterzeichnet ist, ist die Weitergabe von Daten an diesen Anbieter zulässig, auch wenn er in einem nicht sicheren Drittland ansässig ist. Inzwischen ist zudem klargestellt, dass die Standardvertragsklauseln auch elektronisch, also in einer dauerhaft speicherbaren Form abgeschlossen werden können. Manche Anbieter bieten die Standardvertragsklauseln sogar auch jetzt noch an. Suche nach „standard contractual clauses„. Vielleicht hast Du Glück und Dein Anbieter bietet diese bereits jetzt oder kurzfristig an.
Ganz unstrittig sind auch die Standardvertragsklauseln jedoch nicht. Grundsätzlich hat der EuGH in der EU - US Privacy Shield Entscheidung zwar bestätigt, dass die Standardvertragsklauseln weiterhin zulässig sind. Gleichzeitig hat er jedoch die Datenschutzbehörden aufgefordert, jeweils zu prüfen, ob die Standardvertragsklauseln in dem Zielland überhaupt wirken können. Wenn in dem anderen Land tatsächlich kein gleichwertiges Datenschutzniveau besteht und der Empfänger der Daten (z.B. von US-Behörden) gezwungen werden kann, die Daten ohne besonderen Anlass oder Prüfung herauszugeben, hilft eben auch ein Vertrag nicht weiter. Dementsprechend hat der Datenschutzbeauftragte für Baden Württemberg in seiner Orientierungshilfe zu dem Urteil bereits klargemacht, dass die Standardvertragsklauseln für die USA nur ausnahmsweise und mit zusätzlichen Garantien (wie z.B. Verschlüsselung) nutzbar sein werden (zu IV.).
3. Welche Prüfpflichten habe ich bei den Standardvertragsklauseln?
Zudem gibt es für den Verantwortlichen für die Daten (Dich als Betreiber der Website, die Daten von Nutzern sammelt) recht umfangreiche Prüfungspflichten bei Nutzung der Standardvertragsklauseln. Du musst Dich ggf. in Abstimmung mit demEmpfänger der Daten (das US-Unternehmen) vergewissern, dass dessen Rechtsordnung auch ermöglicht, den Vertrag mit den Standardvertragsklauseln einzuhalten. Soll heißen: Du musst prüfen, ob das US-Unternehmen einem Recht unterliegt, in dem die Daten anlasslos für Überwachung und Profiling herausverlangt werden. Das war jedoch grade Gegenstand von Snowdens Enthüllungen und vor allem auch des EuGH-Urteils. Von daher wird es recht schwer zu argumentieren, die Standardvertragsklauseln würden Deinen Daten hinreichenden Schutz gewähren.
4. Zwischenergebnis: Standardvertragsklauseln können kleinen Aufschub bewirken
Für die USA ist ein zulässiger Datenexport über die Standardvertragsklauseln daher ebenfalls fraglich. Derzeit gibt es aber kaum einen anderen Ausweg und immerhin gibt es noch keine Gerichtsentscheidung, die auch diesen Weg für unwirksam erklärt. Von daher sind die Standardvertragsklauseln vielleicht ein erster (unzureichender) Schritt, um die Abmahn- und Bußgeldgefahr für Dich zu senken.
5. Privacy Shield, gibt es einen Ausweg mit Standardvertragsklauseln und Irland?
Das ist sicher jetzt noch zu früh, aber es könnte ein möglicher Ausweg sein. Wenn Dein US-Unternehmen einen Datenverarbeiter in Irland hat und dieser dann die Daten an seine Muttergesellschaft auf der Basis der Standardvertragsklauseln weitergibt, könnte das erlaubt sein (ähnliches ließe sich auch mit Corporate Bindung Rules erreichen). Aber das ist letztlich nur ein Ausweg, den nur Dein US-Anbieter selbst gehen kann, Du kannst den nicht beeinflussen. Wenn man gesehen hat, wie langsam oder auch gar nicht die US-Social-Media Anbieter bisher auf Urteile des EuGH reagiert haben, kann man zweifeln, wie schnell und nachhaltig die US Unternehmen jetzt Lösungen anbieten. Jedenfalls bin ich gespannt, ob es diesmal eine derartige Abwanderung von Kunden von US-Anbietern gibt, dass diese doch reagieren. Genug Juristen, die Lösungen finden können, haben sie sicher. Vielleicht verlagern sie auch öfter Ihre Server tatsächlich ganz in die EU oder finden sonstige Lösungen. Ich bin gespannt!
6. Interner Datenexport mit Standardvertragsklauseln
In jedem Fall lässt sich bereits jetzt erkennen, dass die US-Anbieter, die bereits in Irland oder an sonstigen Orten in der EU-Tochterunternehmen haben, als erste Maßnahme die Standardvertragsklauseln nutzen werden. Dann wird zwischen EU-Tochter und US-Mutter einfach ein Vertrag nach den Standardvertragsklauseln geschlossen und auf den ersten Blick scheint der Datenexport wieder möglich.
7. Sind die Standardvertragsklauseln eine nachhaltige Lösung für mich?
Gib Dich keiner falschen Sicherheit hin! Die Standardvertragsklauseln sind (s. soeben 3.) vom EuGH ganz klar an die Voraussetzung geknüpft worden, dass genau zu überprüfen ist, ob Zielland die Einhaltung des Vertrages ermöglicht. Das ist für die USA in Anbetracht vor allem des Patriot Act ganz klar zu verneinen (danach sind US-Unternehmen in den USA verpflichtet, richterliche Anordnung, Daten – selbst im Ausland gespeicherte Daten – an US-Behörden, insbesondere den Geheimdiensten, herauszugeben). Der EuGH hat eigentlich recht klargemacht, dass eine Übertragung in die USA auch nach den Standardvertragsklauseln nur möglich sein wird, wenn die USA den Datenschutz stärken (oder die EU den DSGVO-Standard senkt). Daher verlass Dich nicht auf die Standardvertragsklauseln, bleibe aufmerksam und bereite Dich mindestens auf andere Lösungen vor.
Der europäische Datenschutzausschuss (ESDA) hat bereits eine FAQ zu den Folgen veröffentlicht. Hier kommen die europäischen Datenschutzbehörden in Frage 5 sogar zu dem Ergebnis, dass Du verpflichtet bist, es Deiner zuständigen Datenschutzbehörde anzuzeigen, wenn Du Daten auf der Basis der Standardvertragsklauseln in die USA überträgst. Danach die Genehmigung zu bekommen, dürfte derzeitig schwierig bis unmöglich sein. Das Gleiche gilt im Übrigen nach der Antwort zu Frage 6 auch für Bindung Corporate Rules, mit denen ggf. ebenfalls Daten in die USA übertragen werden könnten.
VII. Privacy Shield EuGH: Was kann mir denn jetzt passieren?
Die zumindest theoretischen Folgen des Privacy Shield Urteils des EuGH sind erheblich.
1. Kann ich abgemahnt werden?
Du kannst von Deinen Nutzern, Konkurrenten und Abmahnvereinen abgemahnt werden, diese können ggf. sogar auch noch nach Art. 82 DSGVO Schadensersatz verlangen.
2. Kann gegen mich ein Bußgeld verhängt werden?
Weiter kann die Behörde wegen Verstoßes gegen die DSGVO ein Bußgeld verhängen. Dazu kommt, dass ein Bußgeld deutlich teurer geworden ist. Die Datenschutzbehörden haben auch bereits erste Reaktionen gezeigt. Wie wichtig hier das Urteil genommen wird, kannst Du daran erkenne, dass kurz nach dem Urteil der europäische Datenschutzausschuss (ESDA) bereits eine FAQ zu den Folgen veröffentlicht hat.
3. Gibt es denn keine Aufbrauchfrist nach Privacy Shield?
Rechtlich wirkt das Urteil unmittelbar. Die Entscheidung der Kommission ist ungültig und damit der Datenexport nicht mehr zulässig, wenn nicht eine Einwilligung oder die Standardvertragsklauseln vorliegen. Damit gibt es keine Aufbrauchfrist. Grundsätzlich musst Du jetzt sofort den Datenexport in die USA unterbinden. Soweit es die Behörden angeht, werden diese sicher nicht sofort allein wegen Privacy Shield EuGH ein Bußgeld verhängen. Oft wird es erst mal eine Ermahnung und nicht sofort ein Bußgeld geben. Einen wirklichen Anspruch auf Milde hast Du aber nicht.
VIII. Ok, also schalte ich meine Website jetzt ab?
Nicht ganz so schnell – aber wenn Du einen wirklich rein juristischen Rat suchst: JA. Nur eine echte Option ist das kaum – erst recht in Zeiten von Corona, online war noch nie so unverzichtbar wie jetzt. Wenn Du gar nicht warten kannst oder willst, kannst Du Deine Website aber auch ohne US-Anbieter erstellen. Dann hast Du das Problem sofort für Dich gelöst. In VIII. 3. findest Du einige Vorschläge, wie Du z.B. Google Analytics oder Calendly ersetzen kannst, in den Kommentaren finden sich viele weitere Vorschläge.
Es ist vor allem die Aufgabe der EU und der USA, jetzt eine neue Regelung zu finden. In Anbetracht der kurz bevorstehenden Wahlen und der Corona Aufgaben lässt sich aber schon jetzt prognostizieren, dass das nicht so einfach sein wird. Nach der Entscheidung zu Safe Harbour gab es eine Übergangszeit von 6 Monaten der Unsicherheit, die könnte diesmal deutlich länger ausfallen.
Und vielleicht sagt sich der eine oder andere Politiker in der EU sogar, dass es politisch gar nicht so verkehrt scheint, wenn europäische Unternehmen gezwungen werden, europäische Unternehmen, die hier tatsächlich Steuern zahlen, zu nutzen. Dann kann ein EU-US Abkommen vielleicht noch lange auf sich warten lassen.
IX. Und was kann ich realistisch unternehmen?
Ok, wenn Du meinen rein anwaltlichen Rat nicht befolgen magst (ich befolge ihn zugegeben selbst nicht, wie Du daran erkennst, dass Du diesen Beitrag auf meiner Website liest), kommen wir zu dem, was Du naheliegend unternehmen kannst:
1. Frage nach Standardvertragsklauseln
Klar, das ist der einfachste Weg. Frage Deinen Anbieter nach den Standardvertragsklauseln. Wie gesagt, ein Muster dazu findest Du im Mitgliederbereich zu unserem Datenschutz Generator Muster auf Englisch mit weiteren Ausfüllhinweisen. Das wäre die schnellste und einfachste Lösung. Zudem werden viele US-Anbieter jetzt den Weg über interne Standardvertragsklauseln gehen.
2. Lösche US-Anbieter, die Du ohnehin kaum verwendest
Auch für Deine Website gilt, weniger ist mehr. Prüfe noch mal genau, welche Plugins, welche Dienste nutze ich wirklich. Brauche ich die wirklich? Bieten die mir ausreichenden Mehrwert? Bei genauer Betrachtung wird die Antwort vielleicht ein Nein sein. Dann ist Löschen eine Lösung. Für Daten, die Du nicht hast, kannst Du weder abgemahnt werden noch ein Bußgeld erhalten.
3. Lass den Nutzer einwilligen – wenn es geht
Generell kannst Du versuchen, den Nutzer in den Datenexport in die USA nach Art. 49 DSGVO einwilligen zu lassen. Abs. 1 lit. a lautet:
Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, ……, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland … nur unter einer der folgenden Bedingungen zulässig:
- die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.
Eine Einwilligung ist in jedem Fall eine – bleibende – Rechtsgrundlage für Deinen Datenexport.
a) Kann ich eine Einwilligung im Cookie Banner einholen?
Theoretisch kannst Du versuchen, dafür den Opt In Cookie Banner nutzbar zu machen. Hier holst Du ohnehin eine Einwilligung Deiner Nutzer z.B. für Werbe und Tracking Tools ein. Theoretisch kannst Du da auch noch aufnehmen, dass der Nutzer auch noch in die Datenweitergabe in die USA einwilligt.
Art. 49 Abs. 1 lit. a DSGVO zeigt jedoch sofort, ein Text wie
Bitte willige ein, dass wir auch US-Anbieter nutzen dürfen reicht nicht aus. Eine Einwilligung im rechtlichen Sinne muss immer explizit, spezifisch und informiert erfolgen. Explizit lässt sich noch recht einfach mit einem einfachen nicht voreingestellten Opt In Haken umsetzen. Deutlich mehr Aufwand erfordert das spezifisch. Hier musst Du letztlich die Datenübertragungen beschreiben. Je mehr US-Dienste Du nutzt, desto mehr Text wird hier aber erforderlich. Noch weiter gehen die Anforderungen an informiert. Du musst nicht nur über die Weitergabe in die USA aufklären, sondern auch über den fehlenden Schutz für die Nutzerdaten der Daten und die spezifischen Risiken, die daraus folgen aufklären.
Ein solcher Cookie Banner würde mit ziemlicher Sicherheit nur selten akzeptiert werden. Damit wirst Du nicht viele Einwilligungen erhalten. Daher macht ein solcher Versuch auch wenig Sinn, denn für alle, die nicht zustimmen, dürftest Du dann die US-Anbieter eben auch nicht verwenden.
b) Kann ich eine Einwilligung bei Zwei Klick Lösungen einholen?
Weiter bietet es sich an, immer da eine Einwilligung für den Datentransfer in die USA vorzusehen, wo Du ohnehin eine spezifische Einwilligung einholst. Das ist vor allem bei allen Zwei Klick Lösungen der Fall. Wenn Du auf Social Share Buttons von US-Plattformen, eingebettete Videos von US-Anbietern oder US-Kartendienste nutzt, ist generell immer eine Art Zwei Klick Lösung erforderlich. Hier könntest Du ebenfalls zusätzlich zu dem Hinweis auf den Datenexport an einen dritten Anbieter den Einwilligungstext anzeigen.
Auch hier lässt sicher aber vermuten, dass dann nur noch wenige dem Zwei Klick Link folgen werden, Aber immerhin bedeutet das nur, das ein spezifischer Link nicht mehr funktioniert, Deine Website insgesamt ist von der verweigerten Einwilligung dann nicht betroffen.
c) Kann ich eine Einwilligung für meinen Newsletter Anbieter einholen?
Am einfachsten wird es wohl sein, die erforderliche aufgeklärte Einwilligung für einen US-Mail-Anbieter wie MailChimp, Active Campaign oder ConvertKit zu erhalten. Der Double Opt In erfordert ohnehin eine gesonderte Einwilligung des Nutzers. In der entsprechenden Mail kannst Du die Zustimmung einholen. Hierfür ist bereits seit 2016 im Mitgliederbereich von easyRechtssicher ein Muster enthalten, verbunden mit der Empfehlung, diese Einwilligung einzuholen. Wer das gemacht hat, kann jetzt seinen US-Anbieter weiterverwenden.
4. Ersetze US-Anbieter, wo es geht
Für viele US-Dienste gibt es doch einige Alternativen aus Europa oder einem Land mit anerkanntem Datenschutzstandard (wie die Schweiz, Kanada, Neuseeland). So hat easyRechtssicher einige Deutsche und Schweizer Kooperationspartner, dieanzusehen sich lohnt:
- Online Termine: cituro.de oder Calenso
- Videohosting: videolyser.de
- Online Konferenzen: Mikogo
- Webanalyse: focal-analytics.com
- Backups: Backup Monkey
- Website-System: Chimpify
So gibt es sicher viele zulässige Anbieter, die Du wählen kannst. Schreibe Deine Vorschläge gern in die Kommentare. Hier haben sich auch schon einige weitere Vorschläge angesammelt.
Tatsächlich gibt es für Berlin bereits eine Stellungnahme der Datenschutzbehörde, in dem diese genau dazu auffordert. Danach haben Berliner Verantwortliche (also auch Du als Betreiber einer Website) umgehend dafür zu sorgen, dass Daten nicht mehr indie USA übertragen werden.
5. Bleibe auf dem Laufenden
Für Dich kommt es jetzt vor allem darauf an, dass Du auf dem Laufenden bleibst, damit Du mögliche Gefahren erkennst und zeitnah Deine Lösung findest. Abonniere gern unseren Info-Service, dann informieren wir Dich über neue Rechtsentwicklungen betreffend deiner Website.
X. Erste Reaktionen (Update August 2020)
Wie nicht anders zu erwarten, haben einige US-Anbieter inzwischen reagiert. Mehrheitlich geht es in Richtung Standardvertragsklauseln. Dies war nicht anders zu erwarten.
Richtig kreativ zeigt sich jedoch Microsoft zu privacy shield und seinen Folgen. Mehr dazu sogleich im Text.
1. Google Privacy Shield
Google hat auf das Urteil des EuGH recht schnell reagiert und einen neuen Auftragsverarbeitungsvertrag für Werbeprodukte und einen neuen Auftragsverarbeitungsvertrag für G-Suite sowie Standardvertragsklauseln für G-Suite Dienste veröffentlicht. Diese werden entweder automatisch Bestandteil Deines Vertrages mit Google, ggf. musst Du die neuen Bedingungen noch online akzeptieren.
Damit können wenigstens einige Google Dienste wieder als derzeit zulässig angesehen werden. Es muss jedoch bezweifelt werden, dass das Abstellen auf die Standardvertragsklauseln eine nachhaltige Lösung darstellt (s.o. VI. 7.).
2. Microsoft Privacy Shield
Für Microsoft 365 wird von einer neuen Zwei Schlüssel Lösung berichtet. Danach werden die Daten mit zwei Schlüsseln verschlüsselt. Einen hat Microsoft, einen der Kunde. Nur mit beiden Schlüsseln können die Daten gelesen werden. Das wäre dann tatsächlich eine nachhaltige Lösung, die auch Vorbild für andere US-Anbieter sein könnte. Wenn es hier keine Backdoor gibt, wäre ein Zugriff der Daten von Microsoft an US-Behörden nicht mehr möglich.
Gibt es jemanden, der diese Funktion bereits nutzen kann? So könntest Du Microsoft 365 und insbesondere auch Microsoft Teams datenschutzkonform nutzen.
3. Facebook Standardvertragsklauseln
Facebook bietet nunmehr auch einen Vertrag nach den Standardvertragsklauseln an. Damit kann Facebook wieder als derzeit zulässig angesehen werden. Es muss jedoch bezweifelt werden, dass das Abstellen auf die Standardvertragsklauseln eine nachhaltige Lösung darstellt (s.o. VI. 7.).
4. Webflow Standardvertragsklauseln
Webflow bietet inzwischen ebenfalls Verträge nach den Standardvertragsklauseln an. Anders als bei Microsoft, Google und Facebook gibt es bei Webflow aber keine europäische Niederlassung. Das bedeutet, Du musst den Vertrag direkt mit Webflow abschließen. Dabei müsstest Du eigentlich prüfen, ob Webflow die Datenweitergabe an US-Behörden verhindern kann und müsstest diese Frage mit Nein beantworten (s.o. VI. 7.). Streng genommen wäre damit die Nutzung von Webflow immer noch unzulässig. Es ist aber nicht sehr wahrscheinlich, dass Dir das vorgeworfen ist. Daher muss ich zwar davon abraten, aber mit ein wenig Risiko kann man vielleicht darauf setzen, dass es bald wieder eine nachhaltige Lösung gibt.
5. Zoom Standardvertragsklauseln
Auch Zoom bietet als Anhang D zu seinem Auftragsverarbeitungsvertrag die Standardvertragsklauseln an. Diesen Anhang musst Du ausfüllen. Der Text in der Datenschutzerklärung zu Zoom bei easyrechtssicher ist bereits entsprechend angepasst.
Grade bei einem Anbieter für Videokonferenzen wie Zoom bietet sich aber auch an, ggf. vor dem Webinar eine Einwilligung einzuholen. Dann wäre der Export in die USA auch damit möglich (s.o. 3.).
6. Mailchimp Standardvertragsklauseln
Mailchimp löst den internationalen Datentransfer ebenfalls darüber, dass in dem Auftragsverarbeitungsvertrag die Standardvertragsklauseln eingefügt sind. Insofern gilt hier entsprechendes wie zu Zoom.
7. Neue Verhandlungen
Es sollen auch bereits Verhandlungen zu einem neuen Abkommen angelaufen sein. Die werden aber kaum kurzfristig zum Erfolg führen. Der EuGH hat sehr deutlich gemacht, dass einige US-amerikanische Sicherheitsgesetze mit der DSGVO nicht vereinbar sind. Die USA müssten hier also sogar gesetzgeberisch tätig werden. Das ist vor der Wahl praktisch auszuschließen und auch nach der Wahl nicht wirklich hoch wahrscheinlich. Hierauf zu warten dürfte vergebens sein. Am interessantesten bleibt die 2 Schlüssel Lösung von Microsoft oder vergleichbare Maßnahmen.
XI. Ergebnis zu Privacy Shield EuGH
Vielleicht ist es etwas früh, Deine Website jetzt sofort abzustellen. Dennoch, das Urteil des EuGH zu Privacy Shield erschüttert das Internet durchaus. Fast sicher darfst Du davon ausgehen, dass mittelfristig eine Lösung gefunden wird. Die spannende Frage ist, wann wird das der Fall sein und wie sieht diese aus. Grade bei privacy shield waren von Dir durchaus einige Handlungen erforderlich, um Deine Leistungen rechtssicher erbringen zu können.