Datenübertragung in die USA
– was ist zu tun?
Die Vereinbarung für den Datenaustausch zwischen Europa und den USA wurde am 16. Juli 2020 vom Europäischen Gerichtshof gekippt. Das bedeutet, dass Daten europäischer Internetnutzer nicht mehr ohne weiteres auf US-Server übertragen werden dürfen. Diese Entscheidung betrifft die Nutzung nahezu aller US-Amerikanischen Anbieter wie Google, Youtube, Facebook, Mailchimp sowie zahlreiche Hoster, Trackingdienste andere Marketing-Software.
Hintergrund des Urteils ist, dass europäische Daten mit dem bisher gültigen „Privacy Shield Abkommen“ nicht vor dem Zugriff der US-Geheimdienste geschützt seien.
Wer ist betroffen?
Vom Urteil betroffen sind all jene WebSite-Betreiber, die aktuell folgende Dienste nutzen:
- Google (z.B. Google Analytics, Google Search Console, Google Ads, Google GSuite, Google Maps, Google reCaptcha etc.)
- Mailchimp
- Youtube (auch Youtube mit erweitertem Datenschutz)
- Vimeo
- Social Media Plugins (Facebook, Instagram, Twitter, Tumblr, LinkedIn, Pinterest)
- Zoom
- Skype for Business
- Spotify
- Soundcloud
- Amazon Partnerprogramm
- Google WebFonts
- Adobe Fonts
- uvm.
Ist-Zustand: Unsicherheit und Warten auf ein neues Abkommen
Nach dem Urteil des EuGH herrscht Unsicherheit, da es momentan keine völlig eindeutigen gesetzlichen Vorgaben für den Austausch personenbezogener Daten mit den USA gibt. Es bleibt abzuwarten, wie rasch die EU und USA zu einem neuen rechtlichen Abkommen für die Datenübermittlung kommt – solange bewegen wir uns leider in einer rechtlichen Grauzone.
Bitte beachte, dass diese Information keine Rechtsberatung darstellt.
Kontaktiere im Zweifelsfall den Rechtsanwalt Deines Vertrauens.
Was ist jetzt zu tun?
Um mit der eigenen WebSite oder der Verwendung von Online-Marketing-Tools wie Google Ads oder Mailchimp auch weiterhin rechtskonform im Sinne der Datenschutzgrundverordnung zu sein, sind Maßnahmen erforderlich.
1. Prüfung bestehender Anbieter
Prüfe, welche Anbieter aus den USA Du gegenwärtig verwendest und ob hier personenbezogene Daten verwendet werden. Achtung – bereits die Übermittlung der IP-Adresse gilt als personenbezogene Daten.
2. Standarddatenschutzklauseln (=EU-Standardvertragsklauseln) prüfen
Eine weiterhin gültige Grundlage für den Datentransfer können nach Ansicht des EuGH die so genannten EU-Standardvertragsklauseln bilden.
» Wie Du die EU-Standardvertragsklausel bei den wichtigsten Diensten aktivieren bzw. einwilligen kannst siehst Du hier.
3. Datenschutzerklärung anpassen
Die Formulierungen in der Datenschutzerklärung müssen angepasst werden, da sich die Datenübermittlung nun nicht mehr auf das dort angeführte Privacy Shield Abkommen stützt.
Kontaktiere mich gerne, wenn ich Deine Datenschutzerklärung anpassen soll – ich beziehe die Rechtstexte für mich selbst und meine Kunden bei e-recht24.de.
Du hast Fragen?
Kontaktiere mich gerne bei Rückfragen.
Im Rahmen meiner Möglichkeiten und meines Verständnisses der Sachlage möchte ich Dich dabei unterstützen, dass Deine Website auch weiterhin gesetzeskonform und abmahnsicher bleibt.
Bitte beachte, dass diese Information keine Rechtsberatung darstellt.
Kontaktiere im Zweifelsfall den Rechtsanwalt Deines Vertrauens.
Google GSuite
EU-Standardvertragsklausel abschließen / updaten:
- Einloggen in das Google GSuite Admin Konsole: https://admin.google.com/ac/home
- Wähle „Kontoeinstellungen“
- Nach unten scrollen zu „Rechtliche Hinweise und Compliance-Informationen“ und Inhalt mit dem Pfeil rechts aufklappen
- Nach unten scrollen zu „Zusätzliche Bedingungen zu Sicherheit und Datenschutz“
- Auf den Stift rechts klicken um zu bearbeiten
- Fehlende Vereinbarungen zeichnen durch Klick auf „Prüfen und Akzeptieren“