Konsequenzen aus der Unwirksamkeit des EU-US Privacy Shield für Website-Betreiber

Letzten Donnerstag stellte der Europäische Gerichtshof in der Rechtssache C-311/18 – Data Protection Commissioner gegen Maximillian Schrems und Facebook Ireland fest, dass das EU-US Privacy Shield rechtswidrig und damit keine geeignete Grundlage für die Übermittlung personenbezogener Daten in die USA ist. Wir berichteten bereits hier. Im Folgenden sollen die Hintergründe der Entscheidung sowie die sich aus ihr ergebenden – ebenso weitreichenden wie einschneidenden – Konsequenzen näher beleuchtet werden.

I. Wann sind Datenübermittlungen in die USA zulässig?

Die USA sind nach der Datenschutz-Grundverordnung (DSGVO) ein Drittland. Eine Datenübermittlung in ein solches Drittland ist nur zulässig, wenn neben einer Rechtsgrundlage für die eigentliche Übermittlung auch die Voraussetzungen der Art. 44 ff. DSGVO vorliegen. Eine dieser Voraussetzungen ist das Vorliegen eines sogenannten Angemessenheitsbeschlusses der Europäischen Kommission. Hierzu zählte bislang auch das EU-US Privacy Shield.

Liegt kein Angemessenheitsbeschluss der Europäischen Kommission vor, hat also das Drittland kein angemessenes Datenschutzniveau, ist eine Datenübermittlung in ein Drittland nur bei Vorliegen geeigneter Garantien zulässig. Zu diesen geeigneten Garantien zählen insbesondere

• EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) DSGVO),
• Verbindliche interne Datenschutzvorschriften, sogenannte Binding Corporate Rules (Art. 46 Abs. 2 lit. b), Art. 47 DSGVO) oder
• Genehmigte Verhaltensregeln und Zertifizierungen (Art. 46 Abs. 2 lit. e) und f) DSGVO).

Fehlt es auch an geeigneten Garantien, so kann die Datenübermittlung nur dann in die USA erfolgen, wenn ein Ausnahmefall nach Art. 49 DSGVO vorliegt. Dies ist insbesondere dann der Fall, wenn

• die betroffene Person über die vorgeschlagene Datenübermittlung ausdrücklich in die Datenübermittlung eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde (Art. 49 Absatz 1 Satz 1 lit. a) DSGVO),
• die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist (Art. 49 Absatz 1 Satz 1 lit. b) DSGVO),
• die Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich ist (Art. 49 Absatz 1 Satz 1 lit. c) DSGVO) oder
• die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 49 Absatz 1 Satz 1 lit. e) DSGVO).

II. Welche Relevanz hat die Rechtswidrigkeit des EU-US Privacy Shield für die Nutzung von Webfeatures?

Die Nutzung von Analyse- oder sonstigen Webfeatures US-amerikanischer Unternehmen (z.B. Facebook, Google) ist infolge der Rechtswidrigkeit des EU-US Privacy Shield ab sofort mit weiteren erheblichen Risiken verbunden.

Zwar werden die Analyse- und sonstigen Webtools in der Regel durch die europäischen Tochterunternehmen der US-Mutterkonzerne bereitgestellt. Dennoch kann nicht ausgeschlossen werden, dass eine Datenübertragung bei Nutzung dieser Tools in die USA und auf die Server der US-Mutterkonzerne stattfindet.

III. Praxistipp

Zur Meidung von kostenpflichtigen Abmahnungen, der Verhängung von Bußgeldern sowie Schadensersatzansprüchen und sonstigen negativen Folgen empfehlen wir, unverzüglich alle datenschutzrelevanten US-Features Ihrer Websites zu deaktivieren. Hinsichtlich der Anpassung der Datenschutzerklärungen für Ihre Websites ergeben sich die folgenden Optionen:

1. Sie belassen die Regelungen zu den US-Features zunächst in der Datenschutzerklärung und warten die weiteren Entwicklungen ab. Dies hat den Nachteil, dass die Datenschutzerklärung in diesen Punkten fehlerhaft ist, was z.B. dazu führen kann, dass Sie zu Unrecht abgemahnt werden.
2. Sie streichen die betreffenden Regelungen zu den US-Features.

Gerne beraten wir Sie hinsichtlich der weiteren notwendigen Schritte und nehmen die erforderlichen Anpassungen Ihrer Datenschutzerklärungen vor.

Ihre Ansprechpartner in unserem Büro Dresden für diesen Bereich sind:

Rechtsanwältin und Fachanwältin für IT-Recht sowie Urheber- und Medienrecht Heike Nikolov, zertifizierte Datenschutzbeauftragte

Rechtsanwalt und Fachanwalt für IT-Recht Stefan Ansgar Strewe

Rechtsanwalt und Fachanwalt für IT-Recht sowie Gewerblichen Rechtsschutz Sandro Hänsel, zertifizierter Datenschutzbeauftragter