Was das Ende des Privacy-Shield-Abkommen bedeutet?

Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) in einem Urteil (Az.: C‑311/18) ein wichtiges Abkommen über den Datenaustausch zwischen Europa und den USA gekippt. Die Informationen europäischer Verbraucher seien auf US-Servern nicht vor dem Zugriff lokaler Behörden und Geheimdienste geschützt.

Datenschutz in den USA ist nicht ausreichend

Bei der Übertragung von Daten europäischer Verbraucher in ein Drittland müsse ein Schutzniveau gewahrt werden, das dem der DSGVO entspreche. Auf Grundlage der US-Gesetzgebung könne davon nicht ausgegangen werden, weswegen die luxemburger Richter feststellten, dass auch der Datenschutzschild (Privacy Shield) ungültig ist.

Was bedeutet das Urteil in der Praxis?

Hat das Abkommen nun keinen Bestand mehr, heißt das: Alle Datentransfers in die USA, die allein auf den Privacy Shield gestützt werden, sind unzulässig.

Das bedeutet aber nicht, dass nun grundsätzlich keine europäischen Daten mehr in den USA verarbeitet werden dürfen. Anders als den Privacy Shield hält der EuGH die sogenannten Standardvertragsklauseln, die ebenfalls Gegenstand des Verfahrens waren, nämlich weiterhin für gültig.

So können diese nach Ansicht des Gerichts eine gültige Grundlage für den Transfer bilden, allerdings muss das vom Unionsrecht verlangte Schutzniveau bei der Übermittlung personenbezogener Daten eingehalten werden.

Welche Dienste sind betroffen?

CDN

  • Cloudflare

Social Media

  • Facebook-Connect
  • Facebook Plugins
  • Twitter Plugin
  • Instagram Plugin
  • Tumblr Plugin
  • LinkedIn Plugin
  • Pinterest Plugin

Tracking-Dienste

  • Google Analytics
  • WordPress Stats

Ad Networks

  • Google Ads
  • Google Adsense
  • Google Adsense (nicht personalisiert)
  • Google Remarketing
  • Google Conversion Tracking
  • Google Doubleclick
  • Facebook Pixel

Newsletter-Anbieter

  • MailChimp
  • MailChimp mit deaktivierter Erfolgsmessung
  • ActiveCampaign

Musik-/Videoplattformen

  • YouTube
  • YouTube mit erweitertem Datenschutz
  • Vimeo Vimeo ohne Tracking
  • SoundCloud
  • Spotify

Zahlungsanbieter

  • Stripe
  • PayPal
  • Klarna
  • Sofortüberweisung
  • Paydirekt

Videokonferenz-Tools

  • Zoom
  • Skype for Business
  • GoToMeeting
  • Microsoft Teams
  • Google Hangouts
  • Google Meet

Sonstige Tools

  • Google Web Fonts
  • Adobe Fonts
  • Google Maps
  • Google reCAPTCHA
  • Amazon Partnerprogramm

Was sollten Sie jetzt konkret machen?

Nutzen Sie die nächsten Tage und Wochen um die Punkte in der folgenden Checkliste durchzugehen und zu bearbeiten.

  • Liste mit Softwareanbieter und Dienstleister aus den USA erstellen, welche bei Ihnen in Verwendung sind.
  • Analysieren, ob dabei personenbezogene Daten an diese Unternehmen übermittelt werden.
  • Prüfen, ob Ihr Anbieter eine Regelung für Kunden aus der EU treffen wird oder schreiben Sie die Anbieter an und fragen nach, welche Lösungen das Unternehmen treffen wird (Einwilligung, EU-Standard-Vertragsklausel, Datenspeicherung ausschließlich auf EU-Servern...)
  • Prüfen, ob in Ihrer Datenschutzerklärung die Datenübertragung bei bestimmten Unternehmen auf das Privacy Shield Abkommen gestützt war.
  • Formulierungen in Ihrer Datenschutzerklärung anpassen.
THiiiNK Kontakt CTA
Möchten Sie Ihre Website auch absichern und benötigen Unterstützung?
Dann nehmen Sie jetzt Kontakt zu uns auf.