DATA & TARGETING

Privacy Shield gekippt - was nun? Diese drei Optionen bleiben Unternehmen jetzt

Krahforst, Jana, 24. July 2020
Bild: Tom Mossholder - Unsplash

Der Europäische Gerichtshof (EuGH) hat das „EU-US Privacy Shield“ gekippt. Der freie Datenaustausch zwischen der EU und den USA ist also ab sofort unzulässig. Und jetzt?

Die schlechte Nachricht: Das Urteil betrifft so gut wie alle Unternehmen, denn wer beispielsweise Dienste von US-Firmen wie Google, Facebook oder Zoom nutzt, ist bereits mitten drin im Dilemma, da hierbei in der Regel personenbezogene Daten gespeichert werden (z.B. als digitales Adressbuch). Aber auch Firmen, die Newslettersysteme oder CRM-Systeme von US-Anbietern nutzen, haben nun ein Problem.

Doch es ist nicht aller Tage Abend - hier drei Optionen wie es weitergehen kann:

Option 1: Datenmanagement auf innereuropäische Verarbeitung umstellen

Die naheliegendste Lösung, um dem Dilemma Herr zu werden? Datenflüsse umstellen und innerhalb der EU oder in Ländern, für die Angemessenheitsbeschlüsse gelten, wie z.B. die Schweiz, Israel oder Argentinien halten. So simpel dies auf den ersten Blick scheint, ist es allerdings in der Praxis leider nicht. Denn zum einen gibt es aus technischer Sicht nicht für jeden Dienst eine adäquate innereuropäische Alternative, zum anderen ist diese Option oft auch wirtschaftlich ein Genickschuss. Insbesondere dann, wenn das eigene Geschäftsmodell auf dem Datenaustausch mit US-Firmen beruht.

Option 2: Auf Standardvertragsklauseln oder zusätzliche geeignete Garantien setzen

Datentransfers zwischen Europa und den USA, die ausschließlich auf Grundlage einer Privacy-Shield-Zertifizierung erfolgen, sind ab sofort datenschutzwidrig. Wichtig zu wissen: Die Standardvertragsklauseln (SCC) für die Übermittlung an Auftragsverarbeiter hat der EuGH in seinem Urteil allerdings explizit nicht als unwirksam eingestuft. Sprich, Unternehmen, die sich bisher rein auf das EU-US-Privacy-Shield-Abkommen verlassen haben, müssen nun mit ihren US-Vertragspartnern auf eine andere Rechtsgrundlage für den Drittlandstransfer umstellen. Es gilt also zu prüfen, ob jeweils bereits EU-Standardvertragsklauseln vorliegen, auf deren Grundlage eine weitere Zusammenarbeit möglich ist.

Achtung: Rechtlich wasserdicht ist auch diese Lösung auf Dauer nicht. Denn der EuGH fordert, dass bei Datenflüssen in ein Drittland geprüft und sichergestellt wird, ob ein angemessenes Datenschutzniveau besteht. Insbesondere müssen US-Unternehmen bei einer Vereinbarung der EU-Standardvertragsklauseln nachweisen und sicherstellen können, dass ein Zugriff der US Behörden verhindert werden kann. Dies wird US-amerikanischen Unternehmen aber in der Regel nicht gelingen, weshalb in solchen Fällen dann auch EU-Standardvertragsklauseln keine rechtliche Grundlage darstellen. Für einen Großteil des Datenaustauschs mit den USA werden EU-Standardvertragsklauseln also nicht mehr ausreichen.

Gut zu wissen: Wer nicht allein auf Standardvertragsklauseln setzen möchte, dem bieten einige US-Dienstleister als zusätzliche Garantie für ein angemessenes Datenschutzniveau die Möglichkeit der Datenverschlüsselung. Sofern aufgrund der Verschlüsselung ein Zugriff durch US-Behörden verhindert werden kann, bzw. ein Zugriff auf die Rohdaten dadurch unmöglich gemacht wird, bietet eine Verschlüsselung eine zusätzliche geeignete Garantie i.S.v. Art. 46 DSGVO.

Option 3: Ausdrückliche Einwilligung der Nutzer einholen

Unternehmen, die sich nicht auf Standardvertragsklauseln verlassen möchten und eine absolut rechtssichere Variante suchen, um weiterhin den Datenfluss mit den USA aufrecht zu erhalten, können auf eine sog. “Consent Management Platform (CMP)” setzen.
Denn die Einwilligung der Nutzer (Consent) stellt nach Art. 49 DSGVO eine Ausnahme sowohl zum Angemessenheitsbeschluss als auch zu zusätzlichen Garantien dar.

Eine solche Software-Lösung ermöglicht es, die Privatsphäre-Präferenzen der Webseiten- oder App-Nutzer in Bezug auf jeden einzelnen Dienst, der in der Webseite implementiert ist, über ein Privacy Banner rechtskonform abzufragen und auditsicher zu dokumentieren. So kann also bereits bevor personenbezogene Daten verarbeitet und ggfs. weitergeleitet werden, die Einwilligung der Nutzer hierfür eingeholt werden.

Die Voraussetzungen für eine gültige Einwilligung? Der Nutzer muss seine Einwilligungsentscheidung u.a. informiert getroffen haben, d.h. ihm wurde durch die CMP die Möglichkeit gegeben, sich vorab genau über die auf der Webseite eingesetzten Datenverarbeitungsdienste im Detail zu informieren. Es muss also genau ersichtlich sein, welcher Dienst welche Daten zu welchem Zweck in welcher Form und natürlich auch in welchem Land verarbeitet. Im zweiten Schritt muss der Nutzer dieser Datennutzung explizit zustimmen (Opt-in), z.B. durch das Setzen eines Häkchens.

Mit einer CMP kann also sichergestellt werden, dass auch nur genau die Daten an Drittanbieter weitergegeben werden, für die die explizite - und vor allem eine informierte - Nutzer Einwilligung vorliegt.

Hierbei gilt: Je höher die Einwilligungsrate (Opt-in Rate) der Nutzer, desto größer ist logischerweise auch der Datenschatz, den das Unternehmen nun rechtskonform für Marketing-Zwecke zur Verfügung hat. Durch geschickte Opt-in Optimierung, z.B. die optimale Anpassung des Privacy Banners an die Unternehmens CI, kann diese Rate meist noch erheblich gesteigert werden.

Die gute Nachricht zum Schluss

Dass der freie Datenfluss in die USA von jetzt auf gleich für rechtswidrig erklärt wurde, ist zwar ein echter Paukenschlag, Grund zur Panik gibt es für Unternehmen allerdings (noch) nicht. Denn: Die nationalen Aufsichtsbehörden, in deren Aufgabenbereich die Durchsetzung des Urteils fällt, müssen erst einmal Empfehlungen aus dem EuGH-Urteil ableiten und veröffentlichen, daher wird es zunächst einen Übergangszeitraum geben.

Niemand erwartet also, dass Unternehmen Ihre Datenverarbeitungsprozesse von heute auf morgen umstellen. Sie tun allerdings gut daran, die Schonzeit zu nutzen, um an ihrer neuen Datenstrategie zu feilen. Denn eines steht fest: Die Uhr lässt sich nicht mehr zurückdrehen und die Rechte der Nutzer beim Thema Datenschutz rücken - nicht nur in Europa - immer mehr in den Fokus.

Tech Finder Unternehmen im Artikel

EVENT-TIPP: Adzine-Live - Edition #2 - Advertising IDs: Funktion und Bedeutung für Advertiser und Publisher am 19. November 2020, 10:00 Uhr

Die Tage adressierbaren Web-Traffics, der auf 3rd-Party Cookies basiert, scheinen gezählt. Warum IDs in Zukunft so eine wichtige Rolle spielen sollen und wie sie funktionieren, beleuchten wir in der 2. Edition von ADZINE LIVE Programmatic & Adtech. Wir liefern Antworten auf die unzähligen Fragen im Zusammenhang mit der Nutzung von Advertising IDs. Jetzt anmelden!

Krahforst, Jana Über den Autor/die Autorin:

Jana Krahforst ist Expertin für Datenschutzthemen und Head of Legal beim Münchner AdTech-Unternehmen Usercentrics. Gemeinsam mit ihrem Team sorgt sie dafür, dass die Usercentrics Consent Management Platform (CMP), eine Software-Lösung für rechtskonformes Einwilligungsmanagement, jederzeit auf dem neuesten Stand der aktuellen Gesetzeslage ist.