Tag Archive for: Facebook

Google, MailChimp, Shopify, Klaviyo: Immer mehr US-Dienste im Datenschutz-Visier

Es vergeht derzeit kaum eine Woche, in der kein neuer US-Online-Dienst ins Visier von Datensch√ľtzern oder Abmahnern ger√§t. Angefangen hatte es damit, dass mehrere Datenschutz-Aufsichtsbeh√∂rden europ√§ischen Unternehmen den Einsatz von Google Analytics und MailChimp untersagt hatten. Dann kam das inzwischen ber√ľhmt ber√ľchtigte Urteil des Landgerichts M√ľnchen I zu Google Fonts und die hierauf folgende Abmahnwelle. Hochaktuell sind die Meldungen, dass eine Aufsichtsbeh√∂rde den Einsatz von Shopify als rechtswidrig eingestuft und eine Anwaltskanzlei Unternehmen wegen der Nutzung des Marketing-Automation-Tools Klaviyo abgemahnt habe. Kernproblem ist meist dasselbe: Die √úbermittlung personenbezogener Daten an Anbieter in den USA. Es stellt sich inzwischen die Frage: Lassen sich amerikanische Dienste √ľberhaupt noch risikofrei einsetzen?

Angefangen hat alles am 16. Juli 2020 mit dem Schrems II-Urteil des Europ√§ischen Gerichtshofs (EuGH, Rechtssache C 311/18), in dem das Privacy Shield-Abkommen zwischen der EU und den USA f√ľr unwirksam erkl√§rt wurde. Die √úbertragung personenbezogener Daten in die USA – und damit der Einsatz von US-Diensten, Cloud- oder SaaS-Anbietern – ist seitdem nur unter komplexen Voraussetzungen zul√§ssig und immer von einer Einzelfallbetrachtung abh√§ngig. Die Datenschutz-Aufsichtsbeh√∂rden sind im Ergebnis sogar der Auffassung, dass eine Nutzung solcher Dienste praktisch gar nicht mehr m√∂glich sein soll. Folge: Ein erhebliches Risiko f√ľr Unternehmen und Website-Betreiber.

 

Kurz und knapp: What to do?

In der Praxis ist der Betrieb einer Website oder eines Online-Shops, der im Wettbewerb mit anderen Anbietern stehen soll, bei einem kompletten Verzicht auf US-Dienste fast unm√∂glich. Es fehlt schlichtweg an gleichwertigen europ√§ischen Alternativen. Komplette Umz√ľge und Umstrukturierungen sind mit erheblichem Aufwand und Kosten, sowie ggf. mit Verlust an Performance verbunden.

Am Ende wird es auf eine wirtschaftliche Betrachtung hinauslaufen. Welche Ma√ünahmen k√∂nnen Unternehmen mit einem vertretbaren Aufwand ergreifen, um Daten√ľbermittlungen in die USA weitestm√∂glich zu reduzieren? Es sind Risiken, m√∂gliche Kosten, wirtschaftlicher Nutzen und “weiche Elemente” wie Kundenzufriedenheit gegeneinander abzuw√§gen. Hierbei k√∂nnen spezialisierte Rechtsanw√§lten oder Datenschutzbeauftragte Sie unterst√ľtzen.

Datenschutz = Wettbewerbsvorteil 

Es zeigt sich deutlicher denn je: Datenschutz ist l√§ngst nicht mehr nur das Abhaken von Checklisten. Heute wirken sich datenschutzrechtliche Entscheidungen unmittelbar auf Marketing, Image, Performance und damit den Umsatz eines Unternehmens aus. Schnellsch√ľsse sind deshalb in jedem Fall zu vermeiden.

 

Hintergrund

Die meisten US-amerikanischen Dienste wie Google, Facebook, Microsoft oder Adobe setzen seit dem Wegfall des Privacy Shields auf sogenannte Standarddatenschutzklausen (engl.: standard contractual clauses oder SCCs). Hierbei handelt es sich um von der EU-Kommission vorgegebene Vertragsklauseln, welche zwischen dem europ√§ischen Unternehmen (“Datenexporteur”) und dem US-Diensteanbieter (“Datenimporteur”) vereinbart werden und in denen das US-Unternehmen – stark vereinfacht gesagt – zusichert, die Daten angemessen zu sch√ľtzen und sich weitgehend an EU-Datenschutzvorgaben zu halten.

Problem: Der EuGH hatte in der Schrems II-Entscheidung ausdr√ľcklich festgehalten, dass die Daten√ľbermittlung in die USA auf Grundlage von SCCs zwar grunds√§tzlich m√∂glich sei. Dies gelte aber nur unter der Voraussetzung, dass das US-Unternehmen durch “zus√§tzliche Ma√ünahmen” (technisch und/oder organisatorisch) ein angemessenes Schutzniveau sicherstellt. Insbesondere der Umstand, dass nach amerikanischem Recht die US-Geheimdienste unter bestimmten Voraussetzungen auf Datenbest√§nde zugreifen d√ľrfen, ist hierbei problematisch. Welche Ma√ünahmen geeignet sein k√∂nnten und wie hoch etwaige Mindeststandards sind, lie√ü das Gericht offen. Und genau an dieser Frage scheiden sich aktuell die Geister.

MailChimp

Schon im M√§rz 2021 hatte das Bayerische Landesamt f√ľr Datenschutzaufsicht (BayLDA) einem Unternehmen die Nutzung des beliebten Newsletter-Tools MailChimp untersagt (wir hatten berichtet). Das Tool speichert und verarbeitet die E-Mail-Adressen von Newsletter-Abonnenten auf Servern in den USA.

Begr√ľndet hatte das BayLDA die Untersagung interessanterweise nicht damit, dass die “zus√§tzlichen Ma√ünahmen” von MailChimp per se unzureichend seien, sondern damit, dass das deutsche Unternehmen diese Ma√ünahmen gar nicht erst gepr√ľft hatte. F√ľr die Beantwortung der Frage, welche Ma√ünahmen geeignet sein k√∂nnten, gab die Entscheidung des BayLDA somit wenig Anhaltspunkte.

Google Analytics

Schlag auf Schlag ging es dann ab Dezember 2021, als gleich mehrere europ√§ische Aufsichtsbeh√∂rden den Einsatz von Google Analytics untersagten (wir hatten berichtet).¬† Hier √§u√üerten die Beh√∂rden recht unmissverst√§ndlich, dass nach ihrer Auffassung Googles “zus√§tzlichen Ma√ünahmen” nicht geeignet seien, um ein angemessenes Schutzniveau zu gew√§hrleisten. So f√ľhrte beispielsweise die √Ėsterreichische Datenschutzbeh√∂rde (√ĖDSB) in ihrem Bescheid vom 22.12.2021 aus:

‚ÄúIn Bezug auf die dargelegten vertraglichen und organisatorischen Ma√ünahmen ist nicht erkennbar, inwiefern [die Ma√ünahmen] effektiv […] sind.‚ÄĚ

‚ÄúSofern die technischen Ma√ünahmen betroffen sind, ist ebenso nicht erkennbar [‚Ķ] inwiefern [die Ma√ünahmen] die Zugriffsm√∂glichkeiten von US-Nachrichtendiensten auf der Grundlage des US-Rechts tats√§chlich verhindern oder einschr√§nken.‚ÄĚ

Der Europ√§ische Datenschutzbeauftragte (EDSB) stellte in seinem Bescheid vom 05.01.2022 klar, dass das europ√§ische Unternehmen, welches Google Analytics auf seiner Website einsetzt, darlegen und beweisen m√ľsse, dass die Ma√ünahmen geeignet seien. Dieser Beweis wird in der Praxis kaum m√∂glich sein.

Google Fonts

Der n√§chste Paukenschlag kam am 20.01.2022 mit dem inzwischen ber√ľhmt ber√ľchtigten Urteil des Landgerichts M√ľnchen I zu Google Fonts (wir hatten berichtet). Das Gericht hatte einem Website-Besucher Schadensersatz in H√∂he von EUR 100,00 zugesprochen, weil ein Website-Betreiber eine extern eingebundene Schriftart genutzt hatte, welche beim Aufruf der Seite von einem Google-Server geladen wurde. Das Urteil zog eine Abmahnwelle hinter sich, die zwischenzeitlich absurde Ausma√üe annahm. Allein unserer Kanzlei lagen etwa 50 Schreiben von Abmahnanw√§lten vor, welche im Namen angeblicher Mandanten Geldentsch√§digungen forderten.

Das Urteil passt zwar streng genommen nicht ganz in die Aufz√§hlung, weil es weniger um die √úbermittlung von Daten in die USA, als mehr um die generelle Daten√ľbertragung an externe Server ging. Es reiht sich jedoch insofern ein, als es einen weiteren problematischen Aspekt bei der Einbindung externer Diensteanbieter aufzeigt.

Klaviyo

Ganz aktuell sind wir auf eine Meldung eines Kollegen aus Hamburg vom 11.11.2022 aufmerksam geworden, wonach ihm eine Abmahnung wegen des Einsatzes von Klaviyo vorliegt. Laut dem Bericht wurde ein Unternehmen abgemahnt, welches den beliebten Newsletter- bzw. Marketing-Automation-Dienst einsetzt. Klaviyo speichert und verarbeitet die hochgeladenen Daten Рinsbesondere E-Mail-Adressen von Kunden und Newsletter-Empfängern Рauf Servern in den USA.

Der abmahnende Website-Besucher verlangt vom Website-Betreiber Auskunft gem√§√ü Art. 15 DSGVO, Unterlassung sowie Schadensersatz in H√∂he von mindestens EUR 5.000,00. Begr√ľndet wird die Abmahnung mit der unzul√§ssigen √úbermittlung personenbezogener Daten in die USA, da Klaviyo keine ausreichenden “zus√§tzlichen Ma√ünahmen” biete.

Wichtig: Es ist noch nicht bekannt, wie die Angelegenheit weiter verlaufen ist. Es ist durchaus m√∂glich, dass das abgemahnte Unternehmen sich gegen die Anspr√ľche wehrt und eventuell sogar eine gerichtliche Entscheidung ergeht. So m√ľ√üig dies f√ľr das betroffene Unternehmen w√§re, so w√ľnschenswert w√§re ein etwaiges Urteil mit Hinblick auf eine rechtliche Kl√§rung.

Shopify

Ebenfalls ganz aktuell ist eine Meldung des Betreibers des Online-Shops “Happy Coffee“. Dieser berichtet, dass die Landesbeauftragte f√ľr den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) ihm gegen√ľber den Einsatz des beliebten Shopsystems Shopify f√ľr rechtswidrig erkl√§rt habe. Konkret st√∂re sich die LfDI an den von Shopify verwendeten CDNs (Content Delivery Networks) Fastly und Cloudflare.¬†Diese verarbeiten personenbezogene Daten, insbesondere IP-Adressen von Website-Besuchern, auf Servern in den USA. In der Begr√ľndung f√ľhrt die LfDI interessanterweise aus, dass auch die √úbermittlung von Daten auf Grundlage einer Einwilligung gem√§√ü Art. 49 Abs. 1 lit. a DSGVO nicht regelm√§√üig, sondern allenfalls in Ausnahmef√§llen zul√§ssig sei.

Kurzes und schmerzloses Res√ľmee der LfDI:

“Da eine f√ľr Cookies, Plugins und andere Trackingmechanismen passende L√∂sung bisher nicht gefunden wurde, ist der Einsatz dieser Dienste US-amerikanischer Anbieter in der Regel unzul√§ssig.”

 

Was nun?

Insgesamt hinterl√§sst das Vorgehen von Abmahnern und Aufsichtsbeh√∂rden mehr Fragen als Antworten. Seit dem Schrems II-Urteil ist klar, dass die Nutzung von US-Diensten problematisch ist. Dass sie aber nach Auffassung der Beh√∂rden praktisch unm√∂glich sein soll, ist dann doch ein unbefriedigendes Ergebnis. Wie bereits einleitend ausgef√ľhrt, ist der Betrieb einer Website oder eines Online-Shops komplett ohne US-Dienste fast nicht m√∂glich. Die europ√§ischen Alternativen haben h√§ufig entscheidende Nachteile.

Ein zumindest vor√ľbergehendes Licht am Horizont k√∂nnte das angek√ľndigte ‚ÄěTrans-Atlantic Data Privacy Framework‚Äú¬†sein, das neue US-EU-Datenschutzabkommen. Wann dieses in Kraft treten und wie lange es halten wird, ist jedoch unklar. Bis dahin m√ľssen Unternehmen sich √ľberlegen, wie sie mit der aktuellen Situation umgehen m√∂chten.

Am Ende wird nur eine wirtschaftliche Betrachtung helfen: Welche Risiken bestehen? K√∂nnen diese Risiken reduziert werden? Wie hoch ist die Wahrscheinlichkeit, dass Risiken sich verwirklichen? Mit welchen Kosten oder Sch√§den ist dann zu rechnen? Spezialisierte Rechtsanw√§lte k√∂nnen Ihr Unternehmen bei dieser komplexen Absch√§tzung unterst√ľtzen und gemeinsam mit Ihnen eine wirtschaftlich sinnvolle L√∂sung finden.

 

Photo by Carlos Muza on Unsplash

Facebook-Fanpages im Widerspruch zum Datenschutzrecht

Mit Urteil vom 11.09.2019 ‚Äď 6 C 15.18 befasste sich das BVerwG mit der Frage, ob ein Fanpage-Betreiber bei Facebook verpflichtet werden kann, seine Seite zu deaktivieren, wenn die digitale Infrastruktur der Internetplattform schwerwiegende datenschutzrechtliche M√§ngel aufweist. Es liegen noch keine Entscheidungsgr√ľnde vor. Aus der Pressemitteilung jedoch ergibt sich, dass das Schlie√üen von Fanpages den Seitenbetreibern auferlegt werden kann. Allerdings trug das Urteil nur wenig zu dem wesentlichen Aspekt der Streitigkeit bei: Wie kann die Verpflichtung, Fanpages zu schlie√üen, verhindert werden?

Read more

Sind Facebook-Seiten noch legal – Die gemeinsame Verantwortlichkeit von Facebook und Seitenbetreibern

Anfang Juni 2018 entschied der Europ√§ische Gerichtshof (EuGH), dass die Betreiber von Facebook-Seiten neben Facebook f√ľr die datenschutzrechtlichen Belange verantwortlich sind. Nach diesem, viel diskutierten und bereits als Todeserkl√§rung f√ľr Facebook-Seiten betitelten, Urteil (Az:¬† C‚ÄĎ210/16 vom 05.06.2018) geschah erst einmal lange gar nichts.

Am 05.09.2018 hielt die Konferenz der unabh√§ngigen Datenschutzbeh√∂rden des Bundes und der L√§nder (DSK) in einem Beschluss fest, dass Facebook-Seiten in der¬†zu diesem Zeitpunkt aktuellen Fassung rechtswidrig seien, da zwischen Facebook und dem Seitenbetreiber ein sog. “joint-controller-Vertrag” vorliegen muss, der kl√§rt, wer die Pflichten aus der Datenschutzgrundverordnung (DSGVO) √ľbernimmt. Read more

Achtung Online-Skimming: 1000 deutsche Online-Shops betroffen

Wie das Bundesamt f√ľr Sicherheit (BSI) berichtete wurden √ľber 1.000 deutsche Online-Shops von Kriminellen manipuliert, sodass Kundendaten und Zahlungsinformationen w√§hrend des Bestellvorgangs an diese abflossen. Hat sich der Diensteanbieter nicht ausreichend gegen solche Eingriffe gesch√ľtzt, drohen nun Bu√ügelder. Read more

Hamburger Datenschutzbeauftragter erlässt Verwaltungsanordnung gegen Facebook

Der Hamburgische Beauftragte f√ľr Datenschutz und Informationsfreiheit¬†gab heute in einer Pressemitteilung bekannt, eine Verwaltungsanordnung erlassen zu haben, die es Facebook untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Das Unternehmen¬†soll zudem Daten l√∂schen, die bereits von¬†WhatsApp an Facebook √ľbermittelt wurden.¬† Read more

Verbraucherzentrale NRW mahnt wegen “Gef√§llt mir”-Button ab

In einer heute ver√∂ffentlichten¬†Pressemitteilung gab die Verbraucherzentrale NRW bekannt, sechs Unternehmen wegen der Nutzung des “Gef√§llt mir”-Buttons von Facebook abgemahnt zu haben. Betroffen sind¬†die Unternehmen HRS, Nivea (Beiersdorf), Payback, Eventim, Peek & Cloppenburg (Fashion ID) und KIK.¬† Read more