Gastbeitrag:
Privacy Shield ist gekippt. Und jetzt?
Das Datenschutzabkommen "Privacy Shield" ist unwirksam. Daher müssen Agenturen und auch deren Kunden, die personenbezogene Daten in die USA übermitteln, nun handeln, sagt Agentur-Inhaber Hannes Zwetschke.
Mit Inkrafttreten der DSGVO und den damit geforderten Maßnahmen war bei vielen Unternehmen schon im Frühjahr 2018 ein gewisser Unmut zu spüren. "Brauch' ich das wirklich" oder "Was ist das wieder für ein Quatsch" war oft im Kundenkontakt zu hören. Unsere damalige Veranstaltung "DSGVO & Zuzeln" war aber sicher nicht nur wegen des Weißwurstfrühstücks ausgebucht. Irgendwie muss man doch handeln beim Datenschutz und den damit verbundenen Änderungen an Webseiten, Softwares und Co.
Nun ist der nächste große Datenschutz-Brocken beschlossene Sache. Mit dem jüngsten Urteil des EuGH vom 16.07.2020 ist der "Privacy Shield" zwischen der EU und den USA gekippt. Wenn man genau hinschaut, betrifft das so gut wie jedes Unternehmen. Was müssen Agenturen und deren Kunden jetzt tun, um datenschutzkonform zu handeln?
Ad hoc haben wir unseren Kunden folgende Handlungsempfehlung an die Hand gegeben: "Wir raten Euch eine Liste zu erstellen, welche Software Anbieter und Dienstleister ihr aus den USA nutzt. Hier ist vor allem eine Übersicht wichtig, bei welchen Anbietern der Privacy Shield bzw. bereits die Standardvertragsklauseln Grundlage zur Übermittlung von Daten bzw. die Nutzung von Diensten in den USA sind. Prüft außerdem, ob die Anbieter eine Regelung für Kunden aus der EU treffen werden.”
Sind die Standardvertragsklauseln der Heilsbringer?
Tja, wenn es nur so einfach wäre. Unternehmen können leider nicht ohne Weiteres den Privacy Shield gegen die Standardvertragsklauseln ersetzen. Vielmehr müssen diese mit jedem Vertragspartner individuell abgeschlossen werden. Das klappt nicht von heute auf morgen und nur dann, wenn die Anbieter aus den USA reagieren und sich jedes Unternehmen aktiv dahinter klemmt. Da war der Privacy Shield mit einem Datenschutzabkommen für jeglichen Datentransfer zwischen der EU und den USA schon komfortabler.
Akut handeln oder abwarten? Das sagt ein Anwalt
Da im Urteil des EuGH keine Übergangsfrist vorgesehen ist, kommt schnell die Sorge zu Bußgeldern, Abmahnungen und weiteren Sanktionen auf. Unser Fachanwalt für IT-Recht, Andreas Kohn vom Anwaltshaus Augsburg, schätzt die Situation wie folgt ein:
"Auch wenn nicht davon auszugehen ist, dass die Aufsichtsbehörden sofort von sich aus Bußgeldverfahren gegen jeden Verantwortlichen vorgehen, der noch nach dem Privacy Shield arbeitet, können betroffene Personen der Verarbeitung widersprechen und entsprechende Rechte geltend machen. Man sollte die Sache also nicht auf die lange Bank schieben.
Zunächst sollte man aber prüfen, ob tatsächlich personenbezogene Daten von Kunden oder Mitarbeitern unter den Regeln des Privacy Shield in die USA übermittelt werden. Hierzu sollte man die bestehenden Vereinbarungen zur Auftragsvereinbarung und die Datenschutzerklärungen der verwendeten Produkte und Dienste prüfen. Wenn hier keine Datenverarbeitung nach den Regeln des Privacy Shield erfolgt, besteht tatsächlich derzeit kein besonderer Handlungsbedarf.
Falls eine Datenübermittlung nach den Regeln des Privacy Shield vorliegt, sollte der Empfänger der Daten in den USA kontaktiert werden. Manche US-Unternehmen haben bereits andere Lösungen für eine Datenübermittlung geschaffen (etwa Standardvertragsklauseln), die man dann implementieren kann. Falls das Unternehmen in den USA noch keine Lösung parat hat, muss man überlegen, welche Datenübermittlung in die USA überhaupt notwendig ist. Viele Anwendungen können problemlos auch durch Lösungen innerhalb der EU abgelöst werden."
Erste Hilfe aus den Agenturen
Als erste einfache To-Do für Agenturkunden steht die Änderung der Webfont an. Sie kommt in den meisten Fällen von Google Webfonts oder Adobe Fonts und lässt sich durch eine lokal installierte Schrift auf dem eigenen Webspace ablösen. Setzt das Unternehmen Google Analytics nur zur eigenen Information ein, kann eine lokale Analyse-Software auf dem Webspace installiert werden.
Bei vielen weiteren Tools muss sich jedes Unternehmen selbst die Frage stellen, ob akut gehandelt werden soll, oder man darauf vertraut, dass US-Unternehmen eine schnelle Lösung erarbeiten. An vielen Stellen basieren ganze Geschäftsmodelle auf Daten, bei denen der internationale Austausch stattfindet.
So wird das Urteil zum Beispiel beim Thema Tracking Tools & Pixel besonders spannend. Betreibt der Kunde eine Webseite oder einen Shop mit einer aktiven SEA-Kampagne, ist ein funktionierendes Tracking für die effiziente Skalierung einer Kampagne essenziell. Denn ohne Tracking wissen Google Ads, Facebook & Co. nicht, wer auf die Anzeigen reagiert hat, wie ein Lead zustande gekommen ist, oder ob ein Kauf abgeschlossen wurde. Damit fehlen dann wertvolle Daten, um die Kampagne zum Erfolg zu optimieren.
Nerviges Übel oder wichtiger Schutz?
Der Europäische Gerichtshof stützt seine Entscheidung zum Privacy Shield auf die nicht ausreichenden Beschränkungen der Zugriffsberechtigungen, die es den US-Behörden ermöglichen, auf personenbezogene Daten von EU-Bürgern zuzugreifen. Diese Option ist innerhalb der EU zwar auch vorhanden, jedoch mit dem großen Unterschied, dass man als EU-Bürger gegen solche Maßnahmen gerichtlich vorgehen kann. In den USA ist das in den Augen der EuGH-Richter nicht ausreichend gegeben.
Somit bietet das Urteil ein gutes Fundament für den Schutz von personenbezogenen Daten vor dem Zugriff durch US-Behörden.
Ganz allgemein bin ich der Überzeugung, dass Agenturen und Kunden am besten fahren, wenn sie sich darauf einstellen, dass sich im Internet und rund um das Thema Datenschutz Jahr für Jahr Änderungen ergeben werden. Das Medium ist mit seinen knapp 30 Jahren noch jung und verändert sich ständig. Gerade weil die Online-Welt aus unserem Alltag längst nicht mehr wegzudenken ist, müssen sich auch Recht und Datenschutz fortlaufend weiterentwickeln. Bei der Umstellung der Mehrwertsteuer von 19 Prozent auf 16 Prozent hat schließlich auch niemand gerufen "Brauch ich das wirklich" oder "Was ist das wieder für ein Quatsch".