Was bedeutet der Wegfall des Privacy Shield Abkommens für Ihre Website?
Mit dem Urteil des Europäischen Gerichtshofs vom 16.07.2020, das die Zulässigkeit des EU-US Privacy Shield Abkommens für ungültig erklärt hat, fehlt nach aktuellem Stand eine rechtliche Grundlage für den Datentransfer von personenbezogenen Daten in die USA. Was bedeutet das für Ihre Website?
Update: Im Juli 2023 wurde mit dem EU-US Data Privacy Framework ein neues Abkommen getroffen.
Es handelt sich bei unseren Artikeln zu Rechtsfragen stets um eigene Recherchen nach bestem Wissen und Gewissen. Wir können (und dürfen) keine Rechtsberatung anbieten und auch dieser Beitrag ist nicht als solche zu verstehen. Sollten Sie eine Rechtsberatung benötigen, wenden Sie sich bitte an einen entsprechenden Juristen oder Datenschutzberater.
Schutz personenbezogener Daten
Das Privacy Shield Abkommen sollte gewährleisten, dass Daten, die die EU verlassen, dennoch auf gleichem Niveau geschützt sind wie innerhalb der EU.
Da jedoch insbesondere in den USA — und dort sind viele für Webdienste und Online-Marketing relevante Firmen ansässig — die Regierung weitreichende Rechte hat, jegliche Daten einzusehen, kann der Schutz der personenbezogenen Daten nicht gewährleistet werden. Übrigens auch nicht durch andere Vertragsklauseln. Das heißt, jeglicher Datentransfer personenbezogenen Daten in die USA ist nunmehr zunächst als unzulässig anzusehen.
Dienste auf einer Website
Sobald Dienste von Dritten auf einer Website eingebunden werden, ist es technisch erforderlich, die IP-Adresse zu übertragen. Und die IP-Adresse gilt als personenbezogenes Datum.
Zu weit verbreiteten Diensten zählen:
- Schriftarten wie Google Fonts (kommen sehr oft zum Einsatz, wenn Sie ein vorgefertigtes Theme/Template verwenden.)
- Kartenanzeigen
- Videos (z.B. von YouTube)
- Mailchimp für Newsletter
- Social Media Verknüpfungen
- Google Analytics, Facebook Pixel und andere Statistik- und Marketing-Tools
Die letztgenannten sind schon seit längerem einwilligungspflichtig. Lesen Sie hierzu unseren Artikel Brauchen Sie ein Cookie-Banner auf Ihrer Website?.
Wie ist nach dem Urteil zu verfahren?
Wir empfehlen folgende Schritte:
Prüfen Sie Ihre Website auf die Verwendung von US-Diensten. Haben Sie derartige Dienste eingebunden, prüfen Sie, ob Sie diese sinnvoll ersetzen können: die eingebettete Karte kann zu einem Bild mit externem Link umgewandelt, die Fonts lokal eingebunden, eigene Videos selbst gehostet oder nur auf das Video auf YouTube verlinkt werden...
Sind es Dienste, die nicht leicht ersetzt werden können, empfiehlt es sich, die Einwilligung des Nutzers einzuholen (es ist allerdings noch nicht geklärt, ob man beim Eingriff in Grundrechte überhaupt rechtssicher einwilligen kann).
Zusätzlich ist eine Aufklärung notwendig. Dies gilt bereits für die Einwilligung. Der Anbieter eRecht24 hat zusätzlich einen Paragraphen mit in die Datenschutzerklärung aufgenommen, um auf die Risiken hinzuweisen.
Das Urteil ist noch recht jung, die konkreten Auswirkungen sorgen für Verunsicherung. Es wird bestimmt in den nächsten Monaten weitere Orientierungshilfen und Lösungsvorschläge geben. Vorbereitet zu sein und seine Website einmal auf fragliche Punkte zu untersuchen, ist in jedem Fall sinnvoll. Wenn Sie dabei Hilfe benötigen, stellen Sie gerne ein Anfrage!