Tag Archive for: Privacy Shield

EU-Kommission: Datentransfer in die USA und Einsatz von US-Diensten wieder einfacher

Nachdem europĂ€ische Unternehmen und Website-Betreiber lange darauf gewartet haben, ging es plötzlich doch ganz schnell: Am 10.07.2023 hat die EU-Kommission den lange angekĂŒndigten Angemessenheitsbeschluss fĂŒr das EU-US Data Privacy Framework erlassen. Damit ist der Nachfolger des Privacy Shields offiziell in Kraft und kann ab sofort als Grundlage fĂŒr Datentransfers an zertifizierte US-Unternehmen herangezogen. Hierdurch wird der Einsatz zahlreicher Software-Produkte wie beispielsweise Cloud-Dienste, Newsletter-Services oder auch Analysetools wieder deutlich einfacher – zumindest vorlĂ€ufig.

Hintergrund: Seit der EuropĂ€ische Gerichtshof im am 16.07.2020 in seinem Schrems II – Urteil das “Privacy Shield” Abkommen fĂŒr unwirksam erklĂ€rt hatte, waren transatlantische Datentransfers immer mit einem erheblichen Risiko verbunden. EuropĂ€ische Unternehmen, welche Dienste von US-Services wie Google, Microsoft, Facebook & Co. einsetzen wollten, mussten sicherstellen, dass diese durch “besondere Maßnahmen” ein angemessenes Schutzniveau gewĂ€hrleisten. In der Praxis war dies kaum möglich. In der Folge erging eine ganze Reihe von Entscheidungen, in denen Tools wie Google Analytics oder MailChimp durch Datenschutzbehörden faktisch untersagt wurden.

KĂŒnftig können sich US-Unternehmen unter dem Data Privacy Framework zertifizieren lassen. HierfĂŒr mĂŒssen sie bestimmte DatenschutzgrundsĂ€tze einhalten. Hierzu zĂ€hlt beispielsweise die Pflicht, personenbezogene Daten zu löschen, wenn sie fĂŒr den Zweck, fĂŒr den sie erhoben wurden, nicht mehr erforderlich sind. Außerdem ist der Fortbestand des Schutzes zu gewĂ€hrleisten, wenn personenbezogene Daten an Dritte weitergegeben werden. DarĂŒber hinaus sieht der neue Rechtsrahmen BeschrĂ€nkungen fĂŒr den Zugriff von US-Geheimdiensten auf DatenbestĂ€nde vor. Dieses Zugriffsrecht war einer der HauptgrĂŒnde, der zur UngĂŒltigkeit des Privacy Shields gefĂŒhrt hatte. KĂŒnftig sind solche Zugriffe auf das zum Schutz der nationalen Sicherheit notwendige und verhĂ€ltnismĂ€ĂŸige Maß zu beschrĂ€nken.

Durch den Angemessenheitsbeschluss wird die Verwendung US-amerikanische Softwareprodukte und Tools erheblich erleichtert. Übergangslösungen – wie beispielsweise den Datentransfer auf eine informierte Einwilligung gemĂ€ĂŸ Art. 49 Abs. 1 lit. a DSGVO zu stĂŒtzen – werden vorlĂ€ufig obsolet. Verbraucher- und DatenschĂŒtzer, allen voran der Österreicher Max Schrems, haben allerdings bereits angekĂŒndigt, auch das Data Privacy Framework gerichtlich prĂŒfen zu lassen. Aus ihrer Sicht bestehen die Bedenken, die zur UngĂŒltigkeit des Pricacy Shields gefĂŒhrt hatten, auch beim neuen Abkommen fort. Die Entwicklung bleibt abzuwarten. Unternehmen ist zu empfehlen, die in den letzten Jahren erarbeiteten Konzepte und zusĂ€tzlichen Schutzmaßnahmen nicht von heute auf morgen ĂŒber den Haufen zu werfen.

 

Bild: Midjourney

LG Köln: Google Ads auf Website der Telekom rechtswidrig, ABER…

Das Landgericht Köln hat in einem aktuellen Urteil der Telekom untersagt, auf ihrer Website den Dienst Google AdServices einzusetzen. Hintergrund war wieder einmal, dass beim Einsatz von Tracking- und Analysetools von Anbietern wie Google oder Facebook personenbezogene Daten an Server in den USA ĂŒbermittelt und dort verarbeitet werden. Das Gericht fĂŒhrt in der UrteilsbegrĂŒndung aus, dass die Telekom die strengen Voraussetzungen sogenannter “Drittlandtransfers” im konkreten Fall nicht eingehalten habe. Anders als viele Medien jetzt behaupten, hat das Gericht jedoch nicht den Einsatz von Diensten wie Google Ads generell verboten. Im Gegenteil: Nach unserer Auffassung gibt das Urteil wertvolle Anhaltspunkte, wie US-Dienste weiterhin datenschutzkonform genutzt werden können. 

Read more

Dringender Handlungsbedarf beim Einsatz von Mailchimp

Das Bayerische Landesamt fĂŒr Datenschutzaufsicht (BayLDA) hat einem in MĂŒnchen ansĂ€ssigen Unternehmen untersagt, fĂŒr den Versand von Newslettern den US-amerikanischen Dienstleister „Mailchimp“ zu nutzen. Dem Verbot vorausgegangen war eine Beschwerde durch einen Newsletter-EmpfĂ€nger. Die Entscheidung hat fĂŒr Unternehmen, welche Mailchimp oder einen anderen US-Mailingdienst nutzen, weitreichende Folgen.

Mailchimp gehört zu den populĂ€rsten Anbietern von Newsletter-Diensten, da die Software eine einfache Bedienung, sowie ein umfangreiches Funktionsspektrum verspricht. Es handelt sich bei Mailchimp um eine Software-as-a-Service-Lösung (SaaS), sodass die Software nicht auf den Servern nutzenden Unternehmens installiert wird. Die E-Mail-Adressen der EmpfĂ€nger werden stattdessen auf die US-amerikanischen Server von Mailchimp ĂŒbermittelt und dort verarbeitet.

Read more

EuGH kippt Privacy Shield

Am 16. Juli 2020 hat das höchste europĂ€ische Gericht in der Rechtssache Maximilian Schrems gegen Facebook und die irische Datenschutzbehörde (C-311/18) sein Urteil gesprochen. Das dem Rechtsstreit zugrunde liegende US-EU-Datenschutzabkommen wurde fĂŒr unwirksam erklĂ€rt und die Anforderungen an Unternehmen, die sich der Standarddatenschutzklauseln (SCC) bedienen, wurden verschĂ€rft.

Read more