Der Europäische Gerichtshof (EuGH) hat das sogenannte Privacy-Shield-Abkommen für nichtig erklärt und damit die bislang bestehende Vereinbarung für den Datenaustausch zwischen Europa und den USA gekippt. Die Richter begründeten ihre Entscheidung damit, dass Daten europäischer Bürger auf US-Servern nicht ausreichend vor dem Zugriff der landeseigenen Behörden und Geheimdienste geschützt seien. Damit wird die Nutzung von US-Software und Onlinediensten rechtlich bedenklich. Welche Programme sind betroffen und was droht Unternehmen im Geschäftsalltag?

Hintergrund des Rechtsstreits:

Ins Rollen gebracht hatte den Rechtsstreit von mittlerweile globalem Ausmaß eine Klage des Österreicher Juristen und Datenschutzaktivisten Max Schrems. Dieser hatte ursprünglich gegen das soziale Netzwerk Facebook und dessen Praxis geklagt, die Daten europäischer Nutzer nicht in der Europazentrale in Irland, sondern auf Servern in den USA zu speichern und zu verarbeiten.

Seiner Ansicht nach seien die Daten dort aber nicht ausreichend vor Zugriffen durch US-amerikanische Behörden und Geheimdienste geschützt. Bereits im Jahr 2015 gab der Europäische Gerichtshof Schrems Recht und erklärte die damals geltende „Safe-Harbour“-Vereinbarung zwischen EU und USA für ungültig. Der Internetriese Facebook übermittelte jedoch weiterhin Daten in die USA und berief sich auf das Folgeabkommen Privacy-Shield.

Schrems klagte erneut, weil er auch mit dem neuen Abkommen keinen ausreichenden Datenschutz garantiert sah. Der EuGH gab ihm erneut Recht und kippte auch den Privacy Shield. Die Richter begründeten ihre Entscheidung unter anderem mit einem kaum kontrollierten Zugriff auf europäische Daten durch Behörden und Geheimdienste der USA.  Außerdem hätten Europäer keine Klagemöglichkeit, wenn sie einen Datenmissbrauch vermuten.

Welche Folgen hat das Urteil?

Ökonomen und Wirtschaftsvertreter äußern sich alarmiert und besorgt zu dem Urteil. So erklärte beispielsweise der IT-Verband Bitkom gegenüber dem Handelsblatt, dass mit der Entscheidung des EuGH die Realität einer globalen Datenwirtschaft verkannt werde. Viele Unternehmen seien auf den freien Datenverkehr über die Grenzen der EU angewiesen und Prozesse könnten nicht einfach von heute auf morgen umgestellt werden.

Aktuell sind transatlantische Datentransfers nur noch rechtssicher, wenn sie auf Basis der sogenannten Standardvertragsklauseln erfolgen. Diese hat der EuGH mit seinem Urteil in ihrer Wirksamkeit bestätigt und damit zumindest den Stillstand des weltweiten Datentransfers verhindert. Allerdings müssen diese Klauseln für jedes US-Unternehmen einzeln ausgehandelt werden. Google hat bereits angekündigt, seine Datenübermittlung künftig darauf stützen zu wollen.

beitrag-flaggen

Können US-Datenverarbeiter den Schutz europäischer Kundendaten nach EU-Standard nicht gewährleisten, ist die Nutzung ihrer Dienste für europäische Unternehmen illegal und bei Missachtung drohen Abmahnungen sowie Bußgelder.

Um welche Dienste geht es konkret?

Neben Programmen von IT-Riesen wie Facebook und Google sind auch die Dienste zahlreicher Host-, Tracking- und Newsletteranbietern von dem Urteil betroffen. Die Seite e-Recht24 hat die am häufigsten genutzten Programme zusammengetragen, von denen wir Ihnen nachfolgend diejenigen auflisten, die auch von Maklern genutzt werden:

  • Social Media
    • Facebook-Connect
    • Facebook Plugins
    • Twitter Plugin
    • Instagram Plugin
    • LinkedIn Plugin
  • Videoplattformen
    • YouTube
    • YouTube mit erweitertem Datenschutz
    • Vimeo
    • Vimeo ohne Tracking
  • Videokonferenz-Tools
    • Zoom
    • Skype for Business
    • GoToMeeting
    • Microsoft Teams
    • Google Hangouts
    • Google Meet
  • Ad Networks
    • Google Ads
    • Google Adsense
    • Google Adsense (nicht personalisiert)
    • Google Remarketing
    • Google Conversion Tracking
    • Google Doubleclick
    • Facebook Pixel
  • Newsletter-Anbieter
    • MailChimp MailChimp mit deaktivierter Erfolgsmessung
    • ActiveCampaign
  • Tracking-Dienste
    • Google Analytics
    • WordPress Stats

Weitere Online-Werkzeuge sind z. B.  Google Web Fonts, Adobe Fonts, Google Maps & das Amazon Partnerprogramm.

Was Makler jetzt tun können bzw. sollten:

Allgemein herrscht durch das Urteil des EuGH große Unsicherheit. Rechtsanwalt und Datenschutzprofi Dr. Thomas Schwenke hat in seinem Blog-Beitrag zum Ende des Privacy Shield zusammengefasst, welche Optionen europäischen Unternehmen jetzt zur Verfügung stehen, um sich rechtlich abzusichern:

  1. Bei US-Anbietern nach EU-Servern fragen– Viele Anbieter, wie z. B. Amazon Web Services (AWS) oder Microsoft bieten die Möglichkeit an, dass Daten auf EU-Servern gespeichert werden (auch hier bestehen Rechtsunsicherheiten, aber angesichts derzeitiger Lage ist diese Lösung eine hinreichend sichere Option).

  2. Keine US-Dienstleister einsetzen: Keine Dienstleister einsetzen, die Daten in den USA verarbeiten (d. h. bei US-Unternehmen nach EU-Servern fragen). Zumindest sollten Sie Evaluationsprozesse anstoßen, um im Fall der Fälle zumindest nachweisen zu können, dass Sie sich um Alternativen bemüht haben (mache Anbieter, wie z. B. der Versanddienstleister Mailchimp, boten auch bisher zusätzlich zum Privacy Shield Standardschutzklauseln an).

  3. Keine Dienstleister mit US-Subunternehmern einsetzen: Keine Dienstleister einsetzen, deren Subunternehmer die Daten in den USA verarbeiten.

  4. Verträge und Datenschutzhinweise anpassen: Verträge und Datenschutzerklärungen anpassen und Hinweise auf das Privacy-Shield entfernen.