Privacy Shield ungültig: bereits Beschwerden gegen 101 Unternehmen eingereicht
Am 16. Juli 2020 erklärte der EuGH das sogenannte Privacy Shield für ungültig. Damit sind Webseitenbetreiber und Online-Händler nun in der Bredouille, dass die Übermittlung von Daten auf ihren Webseiten möglicherweise nicht mehr DSGVO-konform ist. Das betrifft Firmen, die US-Amerikanische Dienste wie beispielsweise Google Analytics, Facebook Ads oder Google Maps nutzen. Rund einen Monat nach Bekanntgabe des Urteils wurden in Europa bereits gegen 101 Unternehmen Beschwerden wegen Datentransfers eingereicht.

Donnerstag, 20. August 2020 - Die Auseinandersetzung des EuGH mit dem Privacy Shield erfolgte aufgrund einer Beschwerde eines Datenschützers gegen Facebook. Hintergrund ist, dass viele personenbezogene Daten von europäischen Nutzern entweder direkt an US-Unternehmen weitergeleitet und verarbeitet oder auf US-Amerikanische Server umgeleitet werden. Dort kann zum Beispiel der Geheimdienst der USA Zugang zu den Daten erhalten, diese verarbeiten, auswerten und nutzen.
Der europäische Nutzer hat dagegen keine Möglichkeit, dem zu widersprechen, zu überprüfen, ob, wann und in welchem Umfang seine Daten von Dritten abgerufen worden oder diese Anfragen bzw. seine Daten löschen zu lassen. Bisher war der Privacy Shield als eine rechtssichere Grundlage angesehen worden. Doch der EuGH machte deutlich, dass die aktuelle Praxis nicht den DSGVO-Richtlinien entspricht.
Standardklauseln nicht ausreichend
Obwohl der EuGH sogenannte Standardklauseln bestätigte, diese also weiterhin genutzt werden können, machten die Richter darauf aufmerksam, dass das nicht automatisch zu einer DSGVO-konformen Verarbeitung von Daten führt. Google hatte daraufhin zwar Mitte August Standardklauseln eingeführt. Es wurde aber durch die Datenschutzkonferenz der Bundesländer angemerkt, dass das keinesfalls ausreichend ist. Gegen 101 große Unternehmen in Europa wurden daher bereits Beschwerden wegen Datentransfers in die USA eingereicht.
Was sollten Online-Händler und Webseitenbetreiber jetzt tun?
Zunächst einmal ist es unwahrscheinlich, dass Behörden nun gezielt auf kleinere Online-Händler und Webseitenbetreiber zugehen. Die Beschwerden gegen die 101 Unternehmen wurden von Datenschützern eingereicht. Und zwar handelt es sich jeweils um die wichtigsten Webseiten der EU-Länder. Diese wurden also gezielt und bewusst ausgesucht.
Nach dem Wegfall des Privacy Shield Vorgängers Safe-Harbour haben Behörden zunächst ebenfalls keine Bußgelder verhängt. Auch in diesem Fall ist davon auszugehen, dass unmittelbar zunächst keine Bußgelder verhängt werden. Selbst für die 101 Unternehmen ist es nicht beschlossene Sache, dass es Konsequenzen in Form von Bußgeldern geben wird. Dennoch besteht aktuell für betroffene Unternehmer eine Rechtsunsicherheit. Noyb, die Organisation, die die ursprüngliche Beschwerde gegen Facebook initiiert hat, hat sogar ein FAQ erstellt, welche Schritte EU-Firmen jetzt praktischerweise unternehmen könnten.
Wer daher auf Nummer sicher gehen will, sollte zunächst alle entsprechenden Dienst abschalten und seine Datenschutzerklärung anpassen. Man wird nun in Zusammenarbeit mit der EU-Kommission und Datenschutzbeauftragten eine Lösung finden müssen.