Privacy Shield

Unternehmen, die ihre Daten im Griff haben, sie analysieren und die richtigen Rückschlüsse daraus ziehen können, sind für aktuelle und zukünftige Herausforderungen gewappnet. Data Administration ist der erste Schritt, mit dem die eigene Hoheit über interne Daten erlangt werden kann. Umso wichtiger ist es, hier mit großer Sorgfalt zu arbeiten.

Daten sind der Rohstoff der Gegenwart und Zukunft. Durch die globale, digitale Vernetzung mit all Ihren Auswirkungen auf Onlinemarketing, Anzeigenschaltung und Shopping werden Daten zur Erstellung von Zielgruppen, Definition von Personas und zur Überprüfung des eigenen Angebots genutzt. Wer den Datenstrom kontrolliert, hat de facto die Macht über die digitale Welt. Logisch, dass es hier noch lange nicht zu einer einheitlichen Herangehensweise gekommen ist. Die DSGVO ist zumindest für Europäische Standards ein erster Versuch der Reglementierung. Durch die Absage an das Privacy Shield wird die zukünftige Datenverarbeitung vor noch schwerere Hürden gestellt.

Was ist das Privacy Shield?

Das EU-US Privacy Shield ist ein Abkommen zwischen der US-Regierung und der EU, in dem Regelungen über den Schutz personenbezogener Daten festgesetzt sind.

Grundlegend soll es den Schutz persönlicher Daten von Nutzern gewährleisten, welche aus den EU-Mitgliedstaaten in die USA übermittelt werden. Dabei besteht das Abkommen einerseits aus Anforderungen, die US-amerikanische Unternehmen bei der Speicherung und Verarbeitung dieser Daten zu beachten haben und andererseits aus einem Beschluss der EU-Kommission, welcher diesen Anforderungen zustimmt.

2016 ist das Privacy Shield als Nachfolger des Safe-Harbour Abkommens in Kraft getreten, wobei beschlossen wurde, dass es das Datenschutzniveau, das in der EU herrscht, erfüllen muss.

Besonders betroffen von diesen Regelungen sind soziale Plattformen, wie zum Beispiel FACEBOOK, GOOGLE oder Twitter, deren Unternehmenssitz in den USA liegt. Vor allem auf solchen Plattformen geben die Nutzer besonders viel von sich Preis, was größere Konzerne oft für MARKETING-Zwecke nutzen.

Was ist die DSGVO?

Das oben angesprochene Datenschutzniveau in der EU beruht auf Regelungen, die in der DSGVO, der Datenschutzgrundverordnung manifestiert sind. Seit 2018 besteht diese Verordnung und soll den Schutz personenbezogener Daten für EU-Bürger und vor allem den sicheren und freien Datenverkehr einheitlich in allen Mitgliedstaaten gewährleisten. Unter anderem ist darin verankert, dass die Datenübertragung in Drittstaaten (also Länder außerhalb der EU, die nicht der DSGVO unterliegen) nur dann zulässig ist, wenn diese Drittstaaten ein „angemessenes Datenschutzniveau“ bieten können. Es gibt also eine Liste sicherer Drittstaaten, die regelmäßig durch ANGEMESSENHEITSBESCHLÜSSE der EU aktualisiert wird.  Ein anderer Weg, ein sicheres Drittland zu werden, besteht durch beidseitige Verträge, wie z.B. das Privacy Shield Framework.

Was ändert sich datenschutzmäßig und wo liegen die Probleme für Unternehmen?

Am 16. Juli 2020 wurde das Privacy Shield von dem Europäischen Gerichtshof (EuGH) offiziell für unzulässig erklärt. Das Urteil begründet sich darauf, dass das Datenschutzniveau in den USA nicht ausreichend für europäische Verhältnisse ist. Das Privacy Shield als Vertragsgrundlage für den Datentransfer in die USA ist nun nicht mehr gültig, weil das Gericht es als nicht erwiesen ansah, dass die Regelungen des Privacy Shield das Datenschutzniveau der DSGVO aufrechterhalten können. Insbesondere der durch US-Gesetze vorgeschriebene Zugriff auf Daten durch die Sicherheitsbehörden wiederspricht dabei den EU-Vorschriften. Somit ist vorerst jedes US-Unternehmen in der Pflicht, für neue Rechtssicherheit zu sorgen. Dass dies nicht einfach wird, steht außer Frage, da sich die amerikanischen und europäischen Gesetze bei der Weitergabe von Nutzerdaten offensichtlich im Wege stehen.

Was bedeutet das für europäische Firmen und deren Websites?

Da es keine Übergangsfrist für den Wegfall des Privacy Shields gibt, sollte jedes Unternehmen umgehend analysieren, welche Nutzerdaten über die Website an amerikanische Unternehmen gesendet werden. Mögliche Szenarien sind dabei bspw. Google Produkte wie Analytics, Recaptcha, Youtube-Einbindungen, Maps oder auch Anwendungen wie Salesforce. Alle diese Dienste übermitteln Nutzerdaten an amerikanische Unternehmen. Hier muss also entweder eine neue Vertragsgrundlage für Auftragsverarbeitungsverträge geschaffen werden oder der Endnutzer muss der Übertragung zustimmen können, bevor sie ausgeführt wird. Da man für neue Verträge auf die amerikanischen Vertragspartner angewiesen ist, könnte sich dieser Prozess noch länger hinziehen. Die Einwilligung der Nutzer einzuholen ist manchmal auch mit sehr großen Nachteilen verbunden, wie z.B. bei Analytics, da man bei einer aktiven Einwilligung nur noch ca. 25% der Websitebesuche analysieren kann.

Welche Alternativen zu Google Analytics gibt es?

Auf dem Markt gibt es schon viele verschiedene Anbieter, die die Datenschutzrichtlinien besser erfüllen als Google Analytics – Matomo wäre hier der bekannteste Konkurrent. Matomo lässt sich auch auf dem eigenen Server installieren oder wird durch europäische Anbieter als Service bereitgestellt, so dass hier keine Datenübertragung in Drittländer stattfindet. Außerdem ist es möglich, bestimmte Funktionen von Matomo auch ohne Einwilligung der Websitebesucher zu nutzen. Dies ist jedoch immer individuell mit dem Datenschutzbeauftragten abzustimmen. Außerdem bieten alternative Anaylse-Tools wie Matomo unter Umständen auch noch interessante Zusatzfunktionen, die hilfreich im Marketing-Prozess eingesetzt werden können.

Fazit

Wie genau die Datenschutzregelungen in Zusammenhang mit den USA in Zukunft aussehen werden, bleibt weiterhin unklar. Es ist jedoch wahrscheinlich, dass sie im Gegensatz zu den vorangegangenen verschärft werden und somit nicht mehr jede Plattform oder Anwendung in der EU zulässig ist. Die amerikanischen Konzerne müssen nun schnell reagieren, sodass sie ihren Platz am Markt nicht verlieren. Für deutsche Unternehmen ist es sinnvoll, die aktuellen Datenflüsse zu analysieren und sich nach Alternativen umzuschauen. Diese sind mittlerweile oft vergleichbar in ihrem Funktionsumfang und bieten deutlich mehr Rechtssicherheit beim Datenschutz.