Privacy Shield gekippt – was nun? Diese drei Optionen bleiben Unternehmen jetzt – ADZINE

Die schlechte Nachricht: Das Urteil betrifft so gut wie alle Unternehmen, denn wer beispielsweise Dienste von US-Firmen wie Google, Facebook oder Zoom nutzt, ist bereits mitten drin im Dilemma, da hierbei in der Regel personenbezogene Daten gespeichert werden (z.B. als digitales Adressbuch). Aber auch Firmen, die Newslettersysteme oder CRM-Systeme von US-Anbietern nutzen, haben nun ein Problem.

Doch es ist nicht aller Tage Abend – hier drei Optionen wie es weitergehen kann:

Die naheliegendste Lösung, um dem Dilemma Herr zu werden? Datenflüsse umstellen und innerhalb der EU oder in Ländern, für die Angemessenheitsbeschlüsse gelten, wie z.B. die Schweiz, Israel oder Argentinien halten. So simpel dies auf den ersten Blick scheint, ist es allerdings in der Praxis leider nicht. Denn zum einen gibt es aus technischer Sicht nicht für jeden Dienst eine adäquate innereuropäische Alternative, zum anderen ist diese Option oft auch wirtschaftlich ein Genickschuss. Insbesondere dann, wenn das eigene Geschäftsmodell auf dem Datenaustausch mit US-Firmen beruht.

Datentransfers zwischen Europa und den USA, die ausschließlich auf Grundlage einer Privacy-Shield-Zertifizierung erfolgen, sind ab sofort datenschutzwidrig. Wichtig zu wissen: Die Standardvertragsklauseln (SCC) für die Übermittlung an Auftragsverarbeiter hat der EuGH in seinem Urteil allerdings explizit nicht als unwirksam eingestuft. Sprich, Unternehmen, die sich bisher rein auf das EU-US-Privacy-Shield-Abkommen verlassen haben, müssen nun mit ihren US-Vertragspartnern auf eine andere Rechtsgrundlage für den Drittlandstransfer umstellen. Es gilt also zu prüfen, ob jeweils bereits EU-Standardvertragsklauseln vorliegen, auf deren Grundlage eine weitere Zusammenarbeit möglich ist.

Achtung: Rechtlich wasserdicht ist auch diese Lösung auf Dauer nicht. Denn der EuGH fordert, dass bei Datenflüssen in ein Drittland geprüft und sichergestellt wird, ob ein angemessenes Datenschutzniveau besteht. Insbesondere müssen US-Unternehmen bei einer Vereinbarung der EU-Standardvertragsklauseln nachweisen und sicherstellen können, dass ein Zugriff der US Behörden verhindert werden kann. Dies wird US-amerikanischen Unternehmen aber in der Regel nicht gelingen, weshalb in solchen Fällen dann auch EU-Standardvertragsklauseln keine rechtliche Grundlage darstellen. Für einen Großteil des Datenaustauschs mit den USA werden EU-Standardvertragsklauseln also nicht mehr ausreichen.

Gut zu wissen: Wer nicht allein auf Standardvertragsklauseln setzen möchte, dem bieten einige US-Dienstleister als zusätzliche Garantie für ein angemessenes Datenschutzniveau die Möglichkeit der Datenverschlüsselung. Sofern aufgrund der Verschlüsselung ein Zugriff durch US-Behörden verhindert werden kann, bzw. ein Zugriff auf die Rohdaten dadurch unmöglich gemacht wird, bietet eine Verschlüsselung eine zusätzliche geeignete Garantie i.S.v. Art. 46 DSGVO.

Unternehmen, die sich nicht auf Standardvertragsklauseln verlassen möchten und eine absolut rechtssichere Variante suchen, um weiterhin den Datenfluss mit den USA aufrecht zu erhalten, können auf eine sog. “Consent Management Platform (CMP)” setzen.
Denn die Einwilligung der Nutzer (Consent) stellt nach Art. 49 DSGVO eine Ausnahme sowohl zum Angemessenheitsbeschluss als auch zu zusätzlichen Garantien dar.

Eine solche Software-Lösung ermöglicht es, die Privatsphäre-Präferenzen der Webseiten- oder App-Nutzer in Bezug auf jeden einzelnen Dienst, der in der Webseite implementiert ist, über ein Privacy Banner rechtskonform abzufragen und auditsicher zu dokumentieren. So kann also bereits bevor personenbezogene Daten verarbeitet und ggfs. weitergeleitet werden, die Einwilligung der Nutzer hierfür eingeholt werden.

Die Voraussetzungen für eine gültige Einwilligung? Der Nutzer muss seine Einwilligungsentscheidung u.a. informiert getroffen haben, d.h. ihm wurde durch die CMP die Möglichkeit gegeben, sich vorab genau über die auf der Webseite eingesetzten Datenverarbeitungsdienste im Detail zu informieren. Es muss also genau ersichtlich sein, welcher Dienst welche Daten zu welchem Zweck in welcher Form und natürlich auch in welchem Land verarbeitet. Im zweiten Schritt muss der Nutzer dieser Datennutzung explizit zustimmen (Opt-in), z.B. durch das Setzen eines Häkchens.

Mit einer CMP kann also sichergestellt werden, dass auch nur genau die Daten an Drittanbieter weitergegeben werden, für die die explizite – und vor allem eine informierte – Nutzer Einwilligung vorliegt.

Hierbei gilt: Je höher die Einwilligungsrate (Opt-in Rate) der Nutzer, desto größer ist logischerweise auch der Datenschatz, den das Unternehmen nun rechtskonform für Marketing-Zwecke zur Verfügung hat. Durch geschickte Opt-in Optimierung, z.B. die optimale Anpassung des Privacy Banners an die Unternehmens CI, kann diese Rate meist noch erheblich gesteigert werden.

Dass der freie Datenfluss in die USA von jetzt auf gleich für rechtswidrig erklärt wurde, ist zwar ein echter Paukenschlag, Grund zur Panik gibt es für Unternehmen allerdings (noch) nicht. Denn: Die nationalen Aufsichtsbehörden, in deren Aufgabenbereich die Durchsetzung des Urteils fällt, müssen erst einmal Empfehlungen aus dem EuGH-Urteil ableiten und veröffentlichen, daher wird es zunächst einen Übergangszeitraum geben.

Niemand erwartet also, dass Unternehmen Ihre Datenverarbeitungsprozesse von heute auf morgen umstellen. Sie tun allerdings gut daran, die Schonzeit zu nutzen, um an ihrer neuen Datenstrategie zu feilen. Denn eines steht fest: Die Uhr lässt sich nicht mehr zurückdrehen und die Rechte der Nutzer beim Thema Datenschutz rücken – nicht nur in Europa – immer mehr in den Fokus.