Skip to main content
Über uns

02. October 2020

Ein Überblick der Regelungen nach Schrems II und die Aufhebung des Datenschutzschildes

Besonders seit die DSGVO am 25. Mai 2018 in Kraft getreten ist, ist der Fokus auf die Online-Privatsphäre in der ganzen Welt, nicht nur in der EU, weiter gewachsen. Ähnliche Gesetze wurden in mehreren Ländern auf (mindestens) 4 Kontinenten verabschiedet und weitere historische Urteile erlassen.

Wenn ein Datenverarbeiter, wie z.B. der Besitzer einer Webseite, in den letzten 2 ½ Jahren oder so im Koma gelegen hätte, würde er in einer völlig anderen Welt aufwachen. Es ist viel passiert, was seinen Höhepunkt in dem Schrems-II-Urteil des Europäischen Gerichtshofs fand, der am 16. Juli 2020 zu Gunsten von Max Schrems und gegen den EU-US Privacy Shield entschied.

Schrems II ist die logische Folge von Schrems I, einem Fall, der bereits 2013 mit einer Beschwerde von Max Schrems bei der Datenschutzbeauftragten in Irland, dem Land, in dem sich der europäische Hauptsitz von Facebook befindet, begann. Der österreichische Aktivist behauptete, dass das Recht auf Privatsphäre für die persönlichen Daten auf seinem Facebook-Profil nicht garantiert werden könne, da diese von der EU in die Vereinigten Staaten übermittelt würden.

Wir haben diesen Fall vor und direkt nach dem Gerichtsurteil bezüglich der persönlichen Daten in der EU betrachtet. In wenigen Worten: Es ist nicht mehr legal, dass irgendeine Art von Datenverarbeiter Dienste aus den USA in Anspruch nimmt, die diesen Diensten Zugang zu den persönlichen Daten von EU-Bürgern verschaffen würden, ohne die Risiken vollständig aufzuklären. Die Auswirkungen sind enorm und das Thema macht immer noch Schlagzeilen, jetzt, da es Gespräche über einen vollständigen Rückzug von Facebook aus der EU gibt.

Lassen Sie uns vor diesem Hintergrund einen Blick auf die Auswirkungen von Schrems II und den Fall des Datenschutzschildes in Verbindung mit anderen aktuellen Regelungen werfen. Außerdem geben wir einen Überblick darüber, was Sie als Webseitenbetreiber nach EU-Recht sicherstellen müssen.

Kurze Anmerkungen:

  • IPs werden als persönliche Daten betrachtet.
  • IPs und möglicherweise andere persönliche Informationen, die mit ihnen verbunden sind, werden häufig von Webseiten gesammelt und an verschiedene Dienste gesendet, und zwar durch die Verwendung von Skripten und Pixeln, die die Webseiteninhaber ihren Webseiten hinzufügen (z.B. Facebook Ads Pixel, Google Analytics Tracking-Code usw.).
  • Jedes Mal, wenn ein Benutzer aus der EU auf eine öffentliche Webseite zugreift, die irgendwo in der Welt gehostet wird, wird seine IP verarbeitet und daher werden persönliche Informationen an die oben genannten Dienstleister gesendet.
  • Einige dieser Dienstleistungsanbieter könnten in den USA ansässig sein.
  • US-Dienstleister, die solche persönlichen Daten aus der EU erhalten, haben keine rechtlichen Gründe mehr, auf diese Daten zuzugreifen, sie zu speichern oder zu verwenden. Das wurde als illegal erklärt!

Folgen des EuGH-Urteils Schrems II

Konsequenz 1: Webseiteneigentümer mit EU-Besuchern können keine Daten außerhalb der EU speichern...

...es sei denn, die Gesetze dieses Landes können ein angemessenes Schutzniveau für diese Daten bieten. Die USA stellen keine Ausnahme mehr von dieser Regel dar und sind davon ausdrücklich betroffen. Prüfen Sie, wo sich Ihr Hosting-Provider befindet und welche Daten gesammelt und wo sie gespeichert werden. Wenn Sie feststellen, dass er sich in den USA befindet und Sie darauf persönliche Daten von EU-Besuchern sammeln, wechseln Sie den Provider.

Konsequenz 2: Alle Dienste Dritter, die von Ihrer Webseite genutzt werden, müssen auch den Schutz personenbezogener Daten gewährleisten.

Webseiteneigentümer sollten alle Dienstleistungen Dritter, die sie nutzen, und die (Art der) Daten, auf die sie Zugriff haben, überprüfen. Dazu gehören potenziell: Webseiteanalyse-Tools (z.B. Google Analytics), Werkzeuge zur Besucheranalyse (z.B. Hotjar), Kundenchat-Tools (z.B. Livechat), Tools zur Verwaltung der Kundenbeziehungen (z.B. monday.com), Werbedienste, usw.

Jedes Tool, das Zugang zu den persönlichen Daten von Personen hat, die mit Ihrer Webseite interagieren, stellt eine Haftung dar. Denken Sie daran, dass die IP des Besuchers als persönlicher Datensatz betrachtet wird. Prüfen Sie, wo sich diese Tools befinden. Rechtlich gesehen sollten sie sich in der EU befinden und ein wasserdichtes Auftragsdatenverarbeitungsvertrag (AVV) zur Unterzeichnung anbieten, damit diese als Unterauftragverarbeiter für Sie und Ihre Bedürfnisse fungieren können.

Konsequenz 2.1: Es reicht nicht aus, dass die Anwendungen von Drittanbietern ein physisches Büro in der EU haben...

... wenn das Unternehmen noch in den USA registriert ist, bedeutet dies, dass es den US-Gesetzen entspricht. Und diese Gesetze erlauben der US-Regierung den Zugriff auf private Daten für Angelegenheiten der nationalen Sicherheit. Konkret müssen US-Firmen das Gesetz CLOUD Act einhalten, das es den Bundesvollzugsbehörden grundsätzlich ermöglicht, sie per Haftbefehl zu zwingen, personenbezogene Daten zur Verfügung zu stellen, unabhängig davon, ob die Daten physisch auf einem Server in den USA oder anderswo gespeichert sind.

Konsequenz 3: Im Rahmen des Abkommens über den Schutz der Privatsphäre wurde einer Liste von US-Firmen erlaubt, Daten aus der EU in die USA zu exportieren. Nach der "Schrems II"-Entscheidung, dürfen sie dies nicht mehr tun.

Regelungen wie der Datenschutz und die Standarddatenschutzklauseln werden durch die Entscheidung des Europäischen Gerichtshofs außer Kraft gesetzt. Eine Liste aller betroffenen Unternehmen finden Sie hier: https://www.privacyshield.gov/list. Giganten wie Facebook, Google, Amazon stehen auf der Liste von 5239 Unternehmen, die plötzlich mit diesem ernsten und schwerwiegenden rechtlichen Problem konfrontiert sind.

Stellen Sie sicher, dass Ihre Webseite keinem der Dienste auf dieser Liste Zugriff auf persönliche Daten Ihrer Besucher aus der EU gewährt, oder überprüfen Sie, ob es eine europäische Alternative als Ausnahme für diese Art von Diensten gibt und Sie Ihre Nutzer einwilligen lassen, bevor Sie Daten an den externen Dienst senden.

Konsequenz 4: Speziell im Hinblick auf Google Analytics ist es nicht legal, den Dienst installiert zu lassen...

...es sei denn, alle Besucher werden im Voraus vollständig über die möglichen Risiken informiert und geben ihre ausdrückliche Zustimmung.

Dies impliziert die Verwendung eines Einwilligungsbanners/einer Einwilligungsbox vor Beginn des Trackings, die über die möglichen Risiken einer Datenübermittlung in ein Drittland informieren muss, da es keine angemessenen Maßnahmen zum Schutz der Daten gibt, wie in Artikel 46 der DSGVO (allgemeine Datenschutzverordnung) beschrieben. Wenn Personen nicht einwilligen, dürfen diese nicht erfasst werden. Das kann sehr häufig zu unvollständiger Datenlage führen. 

Konsequenz 5: Einwilligungsbanner müssen spezifische Cookie-Informationen enthalten, sowie Datenübertragungsregeln, falls es eine solche Übertragung gibt.

Die Art und Weise, wie die Zustimmung zu Cookies eingeholt werden muss, ist in Deutschland vom Bundesgerichtshof (BGH) ausführlich beschrieben und vom EuGH (Europäischer Gerichtshof) sanktioniert worden. Siehe das Urteil des EuGH in der Rechtssache C-673/17 hier.

Konsequenz 5.1: Vorausgefüllte Einwilligungsbanner sind nicht legal.

Konsequenz 5.2: Einwilligungsbanner müssen getrennte Einwilligungsfelder für alle platzierten Cookies haben, gruppiert nach Zweck.

Dadurch wird der Benutzer über den Zweck der Cookies informiert. Für Analyse-/Statistik-Cookies, Marketing-Cookies, Cookies zur Speicherung von Benutzerpräferenzen und so genannte "notwendige" Cookies (z.B. die Cookies, die es der Webseite ermöglichen, Ihre Produkte in Ihrem Warenkorb zu halten, während Sie auf der Webseite surfen) sollte eine gesonderte Zustimmung erteilt werden.

Rechtliche Lösungen

Option A (empfohlen) - verwenden Sie nur Diensteanbieter aus der EU

Option B - (nur wenn Sie nicht in der EU tätig sind) - blockieren Sie die Besuche auf Ihrer Webseite von allen IPs aus der EU, so dass keine personenbezogenen Daten von dort importiert werden. Dies wird jedoch 1. Ihr Publikum und Ihren Markt einschränken und 2. Sie nicht davor schützen, dass in anderen Teilen der Welt ähnliche Rechtsvorschriften entwickelt werden.

Option C - stellen Sie sicher, dass sich Ihre Besucher über die Auswirkungen des Datentransfers in die USA im Klaren sind und geben Sie ihnen die Möglichkeit, ihre Zustimmung zu erteilen. Dies sollte sehr gründlich und nur nach Rücksprache mit einem Anwalt erfolgen, um rechtliche Schritte gegen Sie zu vermeiden. BITTE BEACHTEN SIE: Wenn ein Benutzer seine Einwilligung nicht erteilt, müssen Sie sicherstellen, dass er/sie nicht verfolgt wird. Dies wird zu eingeschränkten Daten führen. So wird z.B. eine potentiell große Gruppe von Benutzern in Ihren Webseitenstatistiken überhaupt nicht gezählt, was die Analyse betrifft.

Option D (empfohlen für Analyse-Dienste) - verwenden Sie eine konforme und einwilligungsfreie Lösung und werden Sie diese lästigen Cookie-Banner los. Erfahren Sie hier mehr.

Beispiel für Google Analytics

Wenn Ihre Webseite Google Analytics verwendet, um den Besucher-Traffic zu erfassen, dürfen Zustimmung und Opt-in nicht oberflächlich sein. Sie müssen eine Reihe verschiedener Elemente in Ihr Banner aufnehmen. Vergessen Sie nicht, dass es sich hierbei um einen Dienst handelt, der Cookies verwendet und ebenfalls in den USA angesiedelt ist. All dies muss also in der Einverständniserklärung angesprochen werden.

  • Erklären Sie und holen Sie die Zustimmung für Ihren Zweck als Webseiteneigentümer zur Nutzung des Tools ein. Welche persönlichen Daten Sie sammeln und wozu (z.B. stimme ich zu, dass die Webseite Google Analytics verwendet, um Traffic-Daten und Statistiken über besuchte Seiten zusammenzufassen, die es uns ermöglichen, Entscheidungen über die Anpassung der Webseite an die allgemeinen Bedürfnisse unserer Öffentlichkeit zu treffen. Persönliche Daten wie z.B. Ihre IP werden verarbeitet).

  • Erklären Sie und holen Sie die Zustimmung für die Zwecke von Google zur Datensammlung ein. (z.B. bin ich damit einverstanden, dass Google Analytics meine persönlichen Daten im eigenen Interesse verwendet, um ein persönliches Profil zu erstellen und mir den Erhalt personalisierter Anzeigen oder anderer Arten von kundenspezifischen Inhalten zu ermöglichen).

  • Erklären Sie die Verwendung von Cookies durch Google und holen Sie Ihre Zustimmung dazu ein (z.B. bin ich damit einverstanden, dass Google Cookies in meinem Browser installiert, um mich zu identifizieren und in Zukunft wiederzuerkennen sowie ein Profil meiner Verhaltensweisen und Präferenzen zu erstellen).

  • Aufklärung und Einholung der Zustimmung zur Datenübertragung und den damit verbundenen Risiken (z.B. bin ich damit einverstanden, dass meine bei der Nutzung dieser Webseite erhobenen personenbezogenen Daten an Google Inc. in den USA übertragen und dort verarbeitet werden. Mir ist bekannt, dass das gleiche Schutzniveau für personenbezogene Daten, wie es in der EU gilt, nicht garantiert werden kann. Mir ist bekannt, dass die US-Behörden ohne meine Zustimmung auf meine bei Google gespeicherten persönlichen Daten zugreifen können).

So müsste also die Option C aussehen, wenn Sie die Verwendung von Google Analytics nicht aufgeben wollen. Eher kompliziert und eine heikle Angelegenheit in Bezug auf die Rechtmäßigkeit. Die Wortwahl muss hier besonders sorgfältig getroffen werden.

Was die Analyse von Webseiten anbelangt, so sind die Optionen A und D weitaus bessere Lösungen. Anstelle von Google Analytics können Sie auch einen Anbieter aus der EU verwenden.

Dieser Anbieter ist Visitor Analytics.

Visitor Analytics:

  • hat seinen Sitz in Deutschland und hostet Daten nur innerhalb der Grenzen Deutschlands bzw. der EU, so dass es keinen Transfer personenbezogener Daten in Länder außerhalb der EU geben wird

  • verwendet weder Hosting bei Amazon, noch Google, noch andere US-Cloud-Hosting-Provider mit deutschen Niederlassungen, so dass das Cloud-Gesetz nicht anwendbar ist

  • ist ein Service-Anbieter, der keine Cookies verwendet, wenn er Webseiten-Traffic verfolgt (siehe Cookieless Tracking)

  • ist ein Dienstanbieter, der einen Modus anbietet, bei dem die Zustimmung des Benutzers nicht mehr erforderlich ist, da absolut keine personenbezogenen Daten verarbeitet werden (siehe Einwilligungsfreies Tracking)

 

Melden Sie sich jetzt an und entspannen Sie sich
Sie benötigen keine rechtlich komplizierten Zustimmungen, was die Erfassung des Webseiten-Traffics betrifft.