von RA Jan Lennart Müller

EuGH erklärt sog. Privacy-Shield für ungültig! Wie ist nun zu verfahren?

News vom 17.07.2020, 17:38 Uhr | 5 Kommentare 

Der EuGH hat mit gestrigem Urteil das EU-US-Datenschutzschild (sog. Privacy-Shield) für ungültig erklärt! Konsequenz: Datentransfers in die USA, welche allein auf Basis dieses Privacy-Shields erfolgen sollen, sind damit unzulässig. Wir geben nachfolgend unseren Mandanten eine genaue Handlungsanleitung - inklusive Risikoeinschätzung.

A. Ist das EuGH-Urteil für Sie überhaupt relevant?

Viele Online-Händler bzw. Gewerbetreibende sind von der neuen EuGH-Entscheidung nicht betroffen und müssen daher auch nicht weiter tätig werden. Aber wie findet man für sich selber raus, ob man nun aktiv werden muss oder nicht?

Wir empfehlen folgende Vorgehensweise:

1

I. Prüfen Sie zunächst, ob Sie grundsätzlich betroffen sind!

Sie haben sich nur für den Fall mit dem aktuellen EuGH-Urteil auseinanderzusetzen, dass Sie

  • eine Facebook-Präsenz
  • eine gewerbliche Hompage ohne Bestellfunktion
  • einen eigenen Online-Shop
  • eine Pinterest-Präsenz
  • eine Youtube-Präsenz

betreiben und entsprechende Datenschutzerklärungen im Einsatz haben.

Nicht betroffen sind dagegen Händler, die ausschließlich über Plattformen wie Amazon, eBay, Etsy, Kasuwa etc. Waren verkaufen.

II. Prüfen Sie, ob Sie nachfolgende Dienste einsetzen, die sich auf das Privacy-Shield stützen

Nur bei denjenigen Mandanten gibt es einen konkreten Handlungsbedarf, die einen oder mehrere der nachfolgenden Dienste im Einsatz bzw. in ihrer Datenschutzerklärung geregelt haben:

1. Hosting-Anbieter

  • Ecwid
  • Shopify
  • Squarespace
  • Weebly
  • Wix

2. Content-Delivery-Network durch

  • Cloudfare
  • Fastly
  • Google Cloud
  • Jetpack
  • KeyCDN
  • Stackpath

3. Whatsapp Business

4. Single-Sign-On-Verfahren

  • Facebook Connect
  • Google Sign-In

5. Bei Nutzung von Kundendaten zur Direktwerbung durch

  • ActiveCampaign, LLC
  • Klaviyo
  • Mailchimp
  • SendGrid
  • Shopify Email
  • WhatsApp-Newsletter

6. Datenverarbeitungen zur Bestellabwicklung durch

  • Printful
  • Wix Payments als Paymentdienstleister

7. Social Plugins

  • AddThis
  • AddThis als Shariff-Lösung
  • Facebook
  • Facebook mit "2-Klick"
  • Instagram
  • Instagram als Shariff-Lösung?
  • LinkedIn
  • LinkedIn als Shariff-Lösung
  • Pinterest-Plugins
  • Pinterest-Plugins als Shariff -Lösung
  • Twitter
  • Twitter mit 2-Klick-Lösung
  • Twitter als Shariff-Lösung

8. Verwendung von Videos

  • Vimeo-Videos
  • Youtube-Videos

9. Online-Marketing-Dienstleister

  • Facebook Custom Audience über Pixel-Verfahren
  • Google AdSense
  • Google Ads Conversion-Tracking
  • Google Marketing Platform (ehemals Doubleclick)

10. Webanalysedienste

  • Fullstory
  • Adobe Analytics (Omniture)
  • Google (Universal) Analytics
  • Google (Universal) Analytics OHNE Cookies
  • Jetpack
  • Lucky Orange
  • Netlify Analytics (Netlify Inc.)
  • New Relic
  • Optimizely
  • Squarespace Analytics

11. Retargeting durch

  • Bing Ads (Microsoft Corporation)
  • Bing Ads (Microsoft Corporation) Universal Event Tracking
  • Google Ads Remarketing
  • Pinterest-Retargeting-Pixel

12. Live-Chat-Systeme

  • Chatra (Roger Wilco LLC)
  • Freshchat
  • LuckyOrange
  • Zendesk

13. Sonstige Tools und Anbieter

  • CookiePro als Cookie-Consent-Tool
  • Adobe Fonts (Typekit) als Webfonts
  • Google Web Fonts
  • Google ReCaptcha
  • Google Kundenrezensionen
  • Bing Maps als Online-Kartendienst
  • Google Maps als Online-Kartendienst
  • Shopsync für Shopify
  • Wordfence als Security und Anti-Malware
  • LogRocket bei der Übermittlung von Fehlermeldungen
  • Zoom als Videokonferenz-Tool
  • Microsoft Teams als Videokonferenz-Tool

B. Sollten Sie betroffen sein...

Sollten Sie einen oder mehrere der oben aufgelisteten Dienste nutzen, so haben Sie im Augenblick nur zwei Möglichkeiten:

1. Möglichkeit: Kritische Dienste weiter verwenden

Sie verwenden weiterhin die nach dem Privacy-Shield zertifizierten Dienstleister und übermitteln somit auch weiterhin personenenbezogene Daten Ihrer Kunden/Seitenbesucher an diese Unternehmen.

Abmahnungen wären in diesem Fall grundsätzlich genauso denkbar und möglich wie Sanktionen durch Datenschutzbehörden. Aufgrund unserer Erfahrungen (z.B. Entscheidung des EuGH zum Safe-Harbor-Abkommen als Vorgänger des Privacy-Shields) gehen wir derzeit davon aus, dass zumindest in nächster Zeit aller Wahrscheinlichkeit nach kaum Bußgelder oder Abmahnungen erfolgen werden. Gleichwohl kann man die zukünftige Entwicklung nicht mit Sicherheit vorhersehen.

Vorgehensweise:

Sollten Sie diesem Weg folgen, also einen oder mehrere der oben aufgelisteten kritischen Dienste weiter verwenden wollen, so muss ihre Datenschutzerklärung aktualisiert werden. Überspielen Sie bitte aus diesem Grund die im Mandantenportal hinterlegte/n Datenschutzerklärung/en in Ihre jeweilige Präsenz/en. Sollten Sie unsere Datenschnittstelle (oder unseren Hosting-Service) im Einsatz haben, so bräuchten Sie nicht weiter tätig werden. Die Datenschutzerklärung wird automatisch überspielt.

2. Möglichkeit: Kritische Dienste abschalten (Empfehlung der IT-Recht Kanzlei)

Wer den sichersten Weg gehen möchte, sollte bis zur Klärung eines zulässigen Datentransfers in die USA davon absehen, die oben aufgelisteten Dienstleister einzusetzen.

Wichtig: Sollten Sie diesen Weg gehen wollen, so müssten Sie

  • sowohl die Verwendung der entsprechenden Online-Dienste einstellen, als auch
  • Ihre Datenschutzerklärung entsprechend neu konfigurieren (= die betroffenen Dienste abwählen)!

Bitte übertragen Sie die neue Datenschutzerklärung nach erfolgter Neukonfiguration in Ihre jeweilige Internetpräsenz. Sollten Sie unsere Datenschnittstelle im Einsatz haben, so bräuchten Sie nach erfolgter Neukonfiguration der Datenschutzerklärung nicht weiter tätig werden. Die Datenschutzerklärung wird automatisch überspielt.

Weitere Informationen zur Rechtsprechung des EuGH und den zu folgenden Konsequenzen können Sie in diesem Beitrag nachlesen!

Wir werden hier die weitere Entwicklung genau beobachten und Sie informieren, wenn sich weitere - bessere - Lösungsmöglichkeiten abzeichnen sollten.

Mit den Schutzpaketen der IT-Recht Kanzlei bleiben Sie durch den enthaltenen Update-Service juristisch immer auf dem Laufenden. Wir informieren Sie, wenn sich Änderungen an Ihren Rechtstexten ergeben, damit Sie dauerhaft rechtssicher anbieten können.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Jan Lennart Müller
Rechtsanwalt

Besucherkommentare

Anpassung Datenschutzerkärung

05.08.2020, 08:51 Uhr

Kommentar von S.Schaub

Sie empfehlen bei Weiterverwendung der "kritischen" Tools die Anpassung der Datenschutzhinweise/Datenschutzerklärung. In der Datenschutzerklärung auf Ihrer Seite (it-recht-kanzlei) wird weiterhin auf...

Microsoft Teams als Videokonferenz-Tool

23.07.2020, 14:51 Uhr

Kommentar von R. Winkler

In den MS Bestimmungen für Onlinedienste Stand 1. April 2019 (Download hier: https://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=31), findet man auf Seite 9 die von...

Facebook abschalten?

22.07.2020, 10:09 Uhr

Kommentar von Christina Giebert

Guten Morgen, ich blicke noch nicht komplett durch. Ich habe ein kleines Nebengewerbe und nutze ausschließlich Facebook zur Präsentation und zum Verkauf. Mir bliebe jetzt also eigentlich nur, die...

@ Herrn Alexander B.

21.07.2020, 11:00 Uhr

Kommentar von IT-Recht Kanzlei

Hallo Herr Alexander B., haben Sie vielen Dank für Ihren Kommentar! Wir haben in unserem Artikel https://www.it-recht-kanzlei.de/eugh-priivacy-shield-ist-ungueltig.html auch darauf...

Alternativen: Einwilligung oder Standardvertragsklauseln

20.07.2020, 17:41 Uhr

Kommentar von Alexander B.

Hallo, ich habe von einer anderen Website die Information, dass es neben dem Abschalten der Dienste auch noch zwei weitere Optionen gibt: 1. Einholen einer expliziten Einwilligung (Opt-In) durch den...

© 2005-2020 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller
IT-Recht Kanzlei München 311
4.9 5