Der EU-US-Datenschutzschild, üblicherweise einfach Privacy Shield genannt, wurde am 16.07.2020 vom Europäischen Gerichtshof (EuGH) für ungültig erklärt. Aber was ist der Privacy Shield eigentlich und was bedeutet das jetzt für Websitebetreiber?
Über den Privacy Shield
Der Privacy Shield war ursprünglich ein Abkommen der Europäischen Datenschutzkommission mit den Vereinigten Staaten von Amerika. Er enthält einige Zusicherungen der USA über den Schutz und die Verarbeitung von personenbezogenen Daten, die aus der EU in die USA übertragen werden und wurde am 12.07.2016 von der EU-Datenschutzkommission für angemessen befunden und anerkannt.
Warum wurde der Privacy Shield für ungültig erklärt?
Für die Verarbeitung von personenbezogenen Daten innerhalb der Datenschutzgrundverordnung (DSGVO) bedarf es einer Rechtsgrundlage. Dies ist das berechtigte Interesse des Unternehmens zum Beispiel zur Beantwortung von E-Mail-Anfragen, die Einwilligung des Users durch beispielsweise Setzen eines Cookies oder die Erfüllung einer vertraglichen Verpflichtung wie beim Kauf in einem Online-Shop. Für die Verarbeitung innerhalb der USA bedarf es einer zusätzlichen Rechtsgrundlage, diese war bisher der Privacy Shield.
In Folge eines Rechtsstreits durch den Österreicher Maximilian Schrems und Facebook stellte der EuGH nun fest, dass die Absprachen im Privacy-Shield-Abkommen nicht ausreichen und erklärte ihn für ungültig. Somit ist eine Verarbeitung der Daten in den USA ohne eine neue Rechtsgrundlage nicht mehr erlaubt.
Wer ist betroffen und was bedeutet das für Websitebetreiber?
Betroffen dürften fast alle sein, die eine Website betreiben. Sämtliche Google-Dienste, Social Media Plugins für Facebook, Instagram, Twitter und Co. und sogar einige Newsletter-Dienste (Mailchimp) sowie Cloud-Backup-Dienste (Dropbox) und auch Online-Shop-Lösungen verarbeiten Daten in den USA und sind dadurch betroffen. Es heißt jetzt also handeln.
Was tun?
Es gibt einige Ansätze, die nun verfolgt werden können. Zum einen können die betroffenen Dienste von der Website entfernt werden, was aber für viele keine optimale Lösung sein dürfte. Es könnte auch auf Dienste gewechselt werden, die innerhalb der EU einen ähnlichen Service bieten. Wir verwenden für unsere E-Mail-Newsletter zum Beispiel Sendinblue, ein deutsches Unternehmen, das Datenschutz groß schreibt.
Die wohl einfachste kurzfristige Variante ist es aber, sich explizit vom User eine Einverständnis einzuholen, dass die Daten zu den jeweiligen Diensten übertragen werden dürfen. Dies kann beispielsweise durch eine oder mehrere zusätzliche Checkboxen im Cookie-Popup, das wir sowieso auf jeder Website verwenden, umgesetzt werden. Diese Checkbox muss dann garantieren, dass die zugehörigen Dienste erst dann geladen werden, wenn die Checkbox angehakt wurde.
Außerdem sollte die Datenschutzerklärung umgehend angepasst werden, sodass kein Hinweis mehr auf den Privacy Shield vorkommt.
Wenn Sie Fragen zum Thema Datenschutz und Privacy Shield auf ihrer Website haben, kommen Sie gerne über die üblichen Kontaktwege auf uns zu.