Zum Hintergrund von „Schrems II“
Mit dem Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020, Rechtssache C-311/18 („Schrems II“) wurde das sogenannte „Privacy Shield“ mit sofortiger Wirkung für ungültig erklärt. Dieses ermöglichte bislang bei Selbstzertifizierung von Anbietern die Übermittlung von personenbezogenen Daten in die USA und somit den Einsatz von US-Tools in der EU. Trotzdem durchgeführte US-Datentransfers sind seit dem Urteil rechtswidrig und können Bußgelder und Schadensersatzforderungen nach sich ziehen.
Was tun? Alles abschalten oder einfach weiter so?
In der EU sind mittlerweile viele Verantwortliche in Unternehmen abgestumpft, was Warnungen zur Einhaltung von Datenschutz-Gesetzen anbelangt. Seit Einführung der Datenschutzgrundverordnung sind nur sehr wenige Bußgelder verhängt worden, auch wenn diese in Einzelfällen beträchtlich waren. Nun liegen jedoch höchstrichterliche Urteile vor, an die Behörden und Gerichte gebunden sind. Die Strategie des Wegduckens in der Masse nach dem Motto „alle anderen machen es auch“ kann nicht länger als geeignete Lösung angesehen werden.
Das richtige Vorgehen
Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg erklärt in seiner Orientierungshilfe: „Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden.“
Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit forderte in ihrer Pressemitteilung vom 17.07.2020 Unternehmen auf, die „personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA [übermitteln], […] umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.“
Ein Risiko-Audit zur Ableitung von Maßnahmen könnte daher folgende Fragen beleuchten:
Welche Bereiche sind besonders im Fokus und mit hoher Wahrscheinlichkeit Überprüfungen ausgesetzt?
Zu den sensibelsten Bereichen dürfte die Website zählen.
Welche US-Tools werden eingesetzt? Welche davon verarbeiten personenbezogene Daten?
Nicht vergessen werden sollten Website-Inhalte wie Google Fonts, Google Maps, Youtube-Videos oder Social Media Buttons.
Werden alle diese Tools benötigt bzw. rechtfertigt der Nutzen die Risiken? Für welche der US-Tools gibt es adäquaten Ersatz europäischer Anbieter? Wenn ein Ersatz existiert, wie aufwändig wäre ein Wechsel?
Mindestens in den Bereichen Web-Analyse, A/B-Testing und Marketing Automation gibt es europäische Alternativen. In den meisten Fällen ist ein Wechsel hierbei problemlos möglich ohne große Auswirkungen auf das operative Geschäft.
Die Einwilligungs-Falle
Will man nicht auf US-Tools verzichten, bleibt noch die Möglichkeit, über Einwilligungen der Nutzer den Datentransfer aufrechtzuerhalten. Website-Besucher müssen laut Artikel 49 DSGVO allerdings explizit auf die Risiken des Datentransfers hingewiesen werden, wie dies auch die Leitlinien des Europäischen Datenschutzausschusses (EDSA) betonen. Ein passender Hinweis in Cookie-Bannern könnte so aussehen:
„Wenn Sie auf „Alle akzeptieren“ klicken, willigen Sie zugleich ein, dass Ihre Daten in den USA verarbeitet werden. Die USA werden vom Europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden zu Kontroll- und zu Überwachungszwecken ohne Rechtsbehelfsmöglichkeiten verarbeitet werden.“
Dabei gilt es, vorsichtig mit dem Hervorheben des „Alle akzeptieren“-Buttons umzugehen. Sind Dialoge so gestaltet, dass Nutzer zur Zustimmung gelenkt werden, handelt es sich um eine unangemessene Benachteiligung der Verbraucher, also wenn der Dialog „angelegt erscheint, den Verbraucher von einer Kenntnisnahme abzuhalten und ihn dazu zu veranlassen, das Wahlrecht der Beklagten zu übertragen.“, so die Begründung zum BGH-Cookie-Urteil.
Bei einer rechtskonformen Gestaltung ist daher davon auszugehen, dass kaum noch Daten erfasst werden können. Außerdem sollten sich Unternehmen gut überlegen, wie sich ein derartiger Warnhinweis auf das Vertrauen der Kunden und Interessenten auswirkt.
Besser ohne Einwilligungs-Pflicht
Nicht erst seit dem Privacy Shield-Ende ist die rechtskonforme Einholung von Einwilligungen auf Websites eine Kunst. Dabei gilt es, diese drei Fälle der Einwilligungs-Pflicht zu unterscheiden:
Einwilligung für Cookies, Tracking und Datentransfer notwendig
Dies trifft u.a. zu bei Einsatz von Google Analytics, Google Ads oder Facebook Pixel.
Einwilligung nur für Cookies erforderlich
Dies trifft zu bei Cookie-basiertem Tracking europäischer Auftragsverarbeiter bzw. Cookie-basierter lokaler Implementierung von Web-Analyse-Lösungen, die u.a. Daten nicht Dritten zur Verfügung stellen oder eigene Zwecke mit den Daten verfolgen.
Keine Einwilligungspflicht
Werden Cookie-lose Verfahren von europäischen Auftragsverarbeitern genutzt, kann auf Consent-Dialoge verzichtet oder unabhängig davon Web-Analyse rechtskonform betrieben werden. Bei einer Einwilligung lassen sich analytische Cookies aktivieren. Ohne Einwilligung zu Cookies können dennoch alle Interaktionen bei einem Besuch einschließlich der Kampagnen-Herkunft und möglichen Konversionen erfasst werden. Diese Variante sorgt somit für das Maximum an Datenerfassung und sichert langfristig die Daten-getriebene Steuerung der Marketing-Maßnahmen.
Sie wollen einen Einblick in Consent-freie Web-Analyse erhalten?
Melden Sie sich gerne zu einem der wöchentlichen Web-Vorstellungen zu „Kleine Hafenrundfahrt durch etracker Analytics“ an (Dauer ca. 30 Minuten) – zur Anmeldung.
