Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 das sog. EU-US-Privacy-Shield für unwirksam erklärt. Dieses Urteil hat erhebliche Auswirkungen für eine Vielzahl von Webseitenbetreibern.
Wer seine Webseite nicht ausschließlich zu rein privaten Zwecken betreibt und Dienste von US-Unternehmen nutzt, sollte sich jetzt mit den Auswirkungen des Urteils auseinandersetzen. Denn die USA gelten datenschutzrechtlich als unsicheres Drittland ohne angemessenes Datenschutzniveau. Personenbezogene Daten dürfen in solche Länder nicht ohne Weiteres übermittelt werden.
Was ist konkret zu tun?
Webseitenbetreiber sollten überprüfen, an welcher Stelle der Betrieb der eigenen Internetseite zu einer Übermittlung von personenbezogenen Daten in die USA führt. Für jede dieser Datenübermittlungen müssen dann zwei Fragen beantwortet werden:
- Auf welcher Rechtsgrundlage werden die Daten verarbeitet?
- Wie wird das angemessene Datenschutzniveau hergestellt?
Beispiel 1: Google Analytics
In Bezug auf Google Analytics war die Frage der Rechtsgrundlage der Verarbeitung schon lange Zeit umstritten. Mittlerweile kann man datenschutzrechtlich eigentlich als Rechtsgrundlage nur noch die Einwilligung des Nutzers annehmen. In der Praxis wird dies meist über ein Consent-Banner realisiert. Frage 1 wäre damit geklärt. Rechtsgrundlage der Datenverarbeitung und der Übermittlung an Google ist die Einwilligung, die über ein Consent-Banner erteilt wird.
Im Hinblick auf die zweite Frage wird es schon schwieriger. Denn tatsächlich wird Google Analytics für Europa nicht unmittelbar von dem US-Anbieter Google LLC angeboten, sondern von der europäischen Tochter Google Ireland Limited. Diese schließt mit Webseitenbetreibern auf Wunsch sogar einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Allerdings findet sich in Ziffer 10.2 des Vertrags auch eine Passage, nach der Google die Daten in den USA verarbeiten und speichern darf. Hierzu gehören laut Google u.a. “online identifiers, including cookie identifiers, internet protocol addresses and device identifiers; client identifiers”. Im Hinblick auf die Angemessenheit des Datenschutzniveaus bezieht sich Google an dieser Stelle ausschließlich auf die Teilnahme der Google LLC am EU-US-Privacy-Shield. Und dieses ist nun unwirksam. Ein angemessenes Datenschutzniveau liegt somit nicht vor. Ein anderes, naheliegendes Instrument zur Herstellung des Datenschutzniveaus, nämlich die Vereinbarung von Standardradvertragsklauseln, wird von Google (noch) nicht angeboten.
Webseitenbetreibern bleibt somit eigentlich nur noch die Möglichkeit, die Einwilligung des Nutzers auch auf die Verarbeitung in einem unsicheren Drittland zu erstrecken. Diese Möglichkeit sieht die DSGVO in Art. 49 Abs. 1 lit. a sogar vor. Falls kein angemessenes Datenschutzniveau vorliegt, kann demnach eine Übermittlung personenbezogener Daten an ein Drittland trotzdem zulässig sein, wenn:
die betroffene Person […] in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt [hat], nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.
Für die Praxis bedeutet dies, dass Webseitenbetreiber zum einen die Datenschutzinformationen in ihrer Datenschutzerklärung um die Datenübermittlung in ein unsicheres Drittland und die Ausnahme des Art. 49 Abs. 1 lit. a DSGVO ergänzen müssen. Zum anderen muss der Nutzer aber über die Risiken aufgeklärt werden und dies am besten an prominenter Stelle, nämlich im Consent-Banner selbst.
Es bleibt somit festzustellen, dass die Texte der Datenschutzerklärung in Zukunft vermutlich länger und die Consent-Banner größer werden.
Übrigens: Sollten einzelne Webseitenbetreiber in der Vergangenheit trotz der Hinweise von Aufsichtsbehörden die Datenverarbeitung doch noch auf ein berechtigtes Interesse gestützt haben, so wird dies jetzt nicht mehr vertretbar sein. Denn es fehlt in diesem Fall das angemessene Datenschutzniveau. Es ist also Zeit für die Umstellung.
Beispiel 2: Einbettung von Social Plugins
Spätestens seit dem Urteil des EuGHs zu Planet49 sollte jeder Webseitenbetreiber wissen, dass Social-Plugins, wie z.B. der Facebook-Like-Button, nicht unmittelbar in die eigene Seite eingebunden werden dürfen. In der Praxis ist dies auch nicht weiter schlimm, denn es stehen mit der sog. Sharrif-Lösung des heise-Verlags gute Alternativen zur Verfügung, die die Einbindungen auf Grundlage einer individuellen Einwilligung ermöglichen.
Auch hier kann die ohnehin notwendige Einwilligung nun auch auf die Übermittlung in ein unsicheres Drittland erstreckt werden, sofern der Anbieter der Social-Media Plattform in einem solchen die Daten verarbeitet. Webseitenbetreiber sollten die Datenschutzerklärung um Art. 49 Abs. 1 lit. a DSGVO ergänzen und im Rahmen der Einbettung ggf. noch deutlicher auf die Übermittlung in ein unsicheres Drittland hinweisen. Gleiches gilt, wenn man Social-Plugins nicht über die Sharrif-Lösung einbindet, sondern die Einbindung über ein Consent-Banner steuert.
Beispiel 3: Einbettung von Videos
Auch die Einbettung von Videos kann datenschutzrechtlich zum Problem werden. Denn eine unmittelbare Einbettung kann dazu führen, dass der Anbieter des Videodienstes neben dem Player und den Videos bereits Trackingtools in die Webseite einbettet. Es besteht somit ein ähnliches Problem wie bei unmittelbar eingebetteten Social Plugins. Hier hat sich in der Praxis daher ebenfalls eine Einwilligungslösung etabliert, die zuerst ein lokal gespeichertes Vorschaubild anzeigt und erst nach Klick auf dieses (Einwilligung) die Inhalte nachlädt.
Sitzt der Anbieter in einem unsicheren Drittland, kann auch hier die Einwilligung auf die Übermittlung erstreckt werden. Es muss ebenfalls der Einwilligungstext modifiziert und die Datenschutzerklärung um Art. 49 Abs. 1 lit. a DSGVO ergänzt werden. Auch für die alternative Einbindung über einen Consent-Banner gilt das gleiche.
Beispiel 4: Google Maps, Apple Maps, OpenStreet Map
Die Einbindung von externen Kartendiensten konnte man in der Vergangenheit gut im Rahmen der Interessenabwägung vertreten.
Gleichwohl war es auch hier in der Vergangenheit ratsam, die Einbindung nur über ein Vorschaubild und einen weiteren Klick des Nutzers vorzunehmen (Einwilligungslösung). Wer die Einbindung bereits über ein Vorschaubild und somit die Einwilligung realisiert hat, hat es an dieser Stelle einfach und muss lediglich die Texte ergänzen. In Bezug auf Google Maps sollte auf das nicht angemessene Datenschutzniveau hingewiesen und Art. 49 Abs. 1 lit. a DSGVO erwähnt werden. Gleiches gilt für Apple Maps – allerdings hätte dies bereits in der Vergangenheit passieren müssen, da Apple nie an dem EU-US-PrivacyShield teilgenommen hat. Lediglich für OpenStreet Maps ist keine Anpassung erforderlich, da die Server in der EU stehen.
Wer die Einbindung noch nicht über eine Vorschaubild- bzw. Einwilligungslösung realisiert hat, sollte nun umdenken.
Beispiel 5: Externe Schriftarten, Skriptbibliotheken und Drittinhalte
Auch die systematische Einbindung externer Schriftarten und Skriptbibliotheken kann datenschutzrechtlich zu Fragen führen. Bislang konnte die Einbindung oftmals über eine Interessenabwägung gerechtfertigt werden (wobei man sich schon die Frage gefallen lassen musste, warum man insbesondere die externen Schriftarten nicht einfach lokal speichert).
Sofern man aber jetzt in der Einbindung von externen Schriftarten bzw. externer Skriptbibliotheken eine Übermittlung personenbeziehbarer Daten (IP-Adresse) in ein unsicheres Drittland sieht, bleibt auch hier zur Herstellung der Angemessenheit nur die Einwilligung – z.B. über ein Consent Banner. Der entsprechende Teil wäre dann allerdings wohl der Kategorie „für die Darstellung der Webseite erforderliche Datenverarbeitung“ zuzuordnen.
Allerdings kann man sich an dieser Stelle schon fragen, wie weit die Mitverantwortlichkeit des Webseitenbetreibers eigentlich geht und welche Einbindung von Drittinhalten man sich tatsächlich noch als „Übermittlung personenbezogener Daten“ zurechnen lassen muss. Der ein oder andere Betreiber wird sich hier bis zu einer Stellungnahme der Aufsichtsbehörden ggf. auf den Standpunkt stellen: „Mut zum Risiko – ich übermittle ja nichts, wähle die Quellen ordentlich aus und binde nur die wirklich erforderlichen Drittinhalte ein“.
Beispiel 6: US-Dienstleister Mailchimp
Sofern Websitebetreiber einen US-Newsletterdienstleister wie z.B. Mailchimp einsetzen, der seine Dienste als Software as a Service erbringt, wird dies grundsätzlich auf Grundlage eines Vertrags zur Auftragsverarbeitung zulässig sein. Einen solchen schließt Mailchimp auch ab.
Im Hinblick auf das angemessene Datenschutzniveau hat sich Mailchimp dabei nicht nur auf die eigene Teilnahme am EU-US-Privacy-Shield verlassen, sondern zusätzlich den Abschluss von Standardvertragsklauseln angeboten. Auch wenn das jetzige Urteil des EuGHs die Standardvertragsklauseln kritisch hinterfragt, wird man sich wohl noch auf den Standpunkt stellen können, dass die Standardvertragsklauseln in diesem Fall weiterhin nach Art. 45 DSGVO ein angemessenes Datenschutzniveau herstellen können.
Zusammenfassung
Das Urteil des EuGHs macht es in der Praxis auch im Internet noch komplizierter. Problematisch sind insbesondere Datenverarbeitungen, die sich bislang auf das berechtigte Interesse des Webseitenbetreibers stützen und die die Einbeziehung einer Stelle in den USA mit sich brachten, mit der keine Standardvertragsklauseln geschlossen wurden. In vielen der aufgezeigten Konstellationen muss nun geprüft werden, ob eine der Ausnahmen des Art. 49 DSGVO anwendbar ist. In vielen Fällen wird dabei nur die Einholung einer Einwilligung bleiben. Consent-Banner werden also noch häufiger eingesetzt werden müssen, als bisher. Da die Übermittlung an eine Stelle ohne angemessenes Datenschutzniveau einen zentralen Punkt der Entscheidung des Nutzers darstellt, wird man hierauf vermutlich schon im Bannertext selbst hinweisen müssen. Es ist daher zu erwarten, dass die Banner künftig auch über mehr Text verfügen werden. Webseitenbetreiber, die dies verhindern wollen, müssen versuchen, ihre Internetseite möglichst datensparsam zu gestalten und sollten sich, wenn möglich, auf die Einbindung europäischer Dienste beschränken. Dies dürfte in der Praxis aber häufig schwierig werden.
21. Juli 2020 @ 16:02
Ist das wirklich der richtige Weg, eine Einwilligung vom nichtsahnenden Nutzer über ein 200-Seiten langes Banner zu holen? Das wäre so, als ob ich im Auto vor dem Start einen Banner weg-klicken muss, in dem ganz klein steht, dass die Bremsen versagen könnten, der Airbag ausfallen könne, die Scheiben und Türen herausfallen könnten etc.
Im Auto gibt es ja auch definierte Vorgaben für die Hersteller und den TÜV. Warum gibt es das im Internet nicht? Warum gibt es keine sauberen Vorgaben, was erlaubt ist und was nicht? Dann können wir uns diesen ganzen Banner-Mist sparen.
24. Juli 2020 @ 13:37
Der Vergleich mit dem Auto hinkt stark. Bremsen versagen könnten… Das Pendant zur Webseite wäre: Webseite gehackt werden könnte…
Hier geht es nicht um mögliches Versagen, sondern stattfindende Datenübermittlungen. Und dass Informationen und das Einholen von Einwilligungen 200 Seiten Text erfordern sollen, ist wohl auch ein wenig weit hergeholt…
21. Juli 2020 @ 14:12
Warum greift bei Social Plugins nicht Art. 49 (1) b)? Entweder sind die Personen, die drauf klicken Mitglieder und haben damit einen Vertrag mit dem Anbieter geschlossen oder sie können Mitglieder werden. Beides passt auch mit Art. 49 (1) b) DSGVO.
Eine weitere und durchaus praktikablere Möglichkeit wäre es auch einfach zu warten, was die betroffenen Datenexporteure machen. Die sind letztendlich ebenfalls dafür verantwortlich. Zumindest sollte man aber auf eine Stellungnahme des EDPB warten. Interessant ist in dem Zusammenhang die ICO: Privacy Shield weiter verwenden bis Stellungnahme. Schade, dass die ICO nicht mehr Teil des EDPB ist.
21. Juli 2020 @ 11:51
Bitte die dreimalige Verwendung von „Standartvertragsklauseln“ korrigieren.