Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Homepages
Hood
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
TikTok
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Webflow
Webshop Factory
Werky
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
Xanario
XING
xt:Commerce
YouTube
Zen-Cart
ZVAB

US-Datentransfers bei Google Analytics & Co: Hoffnungsschimmer durch Datenschutzbehörde?

01.12.2022, 08:05 Uhr | Lesezeit: 7 min
US-Datentransfers bei Google Analytics & Co: Hoffnungsschimmer durch Datenschutzbehörde?

Die Nutzung bestimmter US-Dienste wie u.a. Google, Facebook und viele weitere ist aus datenschutzrechtlicher Sicht gegenwärtig problematisch. Ändern kann dies aus Sicht der EU nur die US-Regierung. Diese hat mittlerweile reagiert und im Oktober in einer sog. Executive Order bemerkenswerte Veränderungen beim Datenschutz angekündigt. Die Hamburger Datenschutzbehörde sieht daran viel Positives. Wir beleuchten in diesem Beitrag, ob nun tatsächlich Hoffnung auf eine baldige Lösung zu Gunsten von Betreiber von Websites und anderen Online-Präsenzen besteht und Abmahnwellen wie im Zusammenhang mit Google Fonts schon bald der Vergangenheit angehören werden.

I. Was ist geschehen?

Mit Datum vom 07.10.2022 hat die US-Regierung die sog. „Executive Order on Enhancing Safeguards For United States Signals Intelligence Activities" veröffentlicht (im Folgenden: “Executive Order”), übersetzt: „Durchführungsverordnung zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten“.

Diese Executive Order ist Teil der Antwort der US-Regierung auf die sog. Schrems II-Entscheidung des EuGH, die dazu geführt hat, dass Übermittlungen von personenbezogenen Daten aus der EU – und damit auch aus Deutschland – in die USA gegenwärtig in vielen Fällen nach Ansicht von Datenschutzbehörden und Gerichten der EU nicht vollkommen datenschutzkonform erfolgen können.

In der Praxis von Betreibern von Webshops und sonstigen Online-Präsenzen spielt dies eine erhebliche Rolle, da viele eingesetzte Tools und Services Nutzerdaten erheben und u.a. auch auf Servern in den USA verarbeiten, die aus Sicht von Behörden und Gerichten als personenbezogene Daten anzusehen sind. So ist im Zusammenhang mit der Google Fonts-Abmahnwelle in diesem Jahr beispielsweise auch ein wesentlicher datenschutzrechtlicher Kritikpunkt an der dynamischen Einbindung des Dienstes, dass dabei personenbezogene Daten in die USA übermittelt würden.

Zum 29. November 2022 hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ("Hamburger Datenschutzbehörde") eine Einschätzung der Executive Order veröffentlicht.

Banner Premium Paket

II. Was bedeutet diese Executive Order genau?

Wesentliche Kritikpunkte des EuGH an der datenschutzrechtlichen Rechtslage in den USA im Rahmen der Schrems II-Entscheidung waren, dass die US-Nachrichtendienste weitreichende, aus europäischer Grundrechtssicht unverhältnismäßige Zugriffsbefugnisse auf personenbezogene Daten von EU-Bürgern haben, Zugriffe auf die Daten nicht hinreichend und nicht unabhängig überwacht werden und es keinen hinreichenden Rechtsschutz dagegen gibt.

Diese Kritikpunkte greift die Executive Order nun auf und läutet eine Phase der Umsetzung von Verbesserungen der datenschutzrechtlichen Rechtslage in den USA ein. Ziel der US-Regierung ist es, die datenschutzrechtlichen Bedenken der europäischen Datenschutzbehörden und Gerichte auszuräumen, so dass viele Datentransfers aus der EU wieder in datenschutzkonformer Weise in die USA erfolgen können.

Dies betrifft die Veränderung von Prozessen und Vorgehensweisen bei den insgesamt 18 Geheim- bzw. Nachrichtendienste der USA und die Einrichtung eines unabhängigen Datenschutzgerichts. Hierfür sieht die Executive Order insgesamt eine Umsetzungszeit von einem Jahr vor.

III. Welche Punkte der Executive Order sieht die Hamburger Datenschutzbehörde positiv?

Insgesamt scheint die Hamburger Datenschutzbehörde die Executive Order eher positiv zu sehen, was für Betreiber von Webshops und sonstigen Online-Präsenzen, die auf eine datenschutzkonforme Übermittlung von Daten an US-Servern angewiesen sind, als leicht positives Signal wahrgenommen werden kann.

Aus Sicht der Hamburger Datenschutzbehörde schafft die Executive Order Garantien für europäische Bürger gegenüber den vielen US-Geheim- bzw. Nachrichtendiensten und bewegt sich auf die europäische Grundrechtstradition zu, was nach dem Schrems II-Urteil des EuGH Grundvoraussetzung für eine datenschutzkonforme Verarbeitung von personenbezogenen Daten in den USA ist. Die Datenschutzaufsicht hebt zudem positiv hervor, dass die US-geheimdienstlichen Aktivitäten auf Basis der Executive Order erstmals unter einen Verhältnismäßigkeitsvorbehalt gestellt würden, der – das müsse man dann aber nach der Umsetzung in die Praxis noch genauer prüfen – hinreichend sein könnte.

Die Aufsichtsbehörde ist zudem erfreut darüber, dass die Executive Order einen effektiven Rechtsschutz von EU-Bürgern gegen sie selbst betreffende US-geheim- bzw. nachrichtendienstliche Aktivitäten durch ein als „Data Protection Review Court“ bezeichnetes, und mit unabhängigen Richter:innen besetztes Gremium mit verbindlichen Entscheidungsbefugnissen u.a. auch zur Löschung von bzw. Einschränkung der Verarbeitung von Daten vorsehe – ebenso eine wesentliche Forderung aus dem Schrems II-Urteil des EuGH.

IV. Welche Punkte der Executive Order sieht die Hamburger Datenschutzbehörde negativ bzw. zurückhaltend?

Betont negativ sieht die Datenschutzaufsicht vor allem, dass die USA gemäß der Executive Order ausdrücklich weiterhin an der sog. Massenüberwachung (sog. „bulk collection“) festhalten wollen, diese also auch nicht zumindest in Bezug auf personenbezogene Daten von EU-Bürgern abschaffen werden. Die Hamburger Behörde deutet zumindest leise Skepsis an, dass dies im Einklang mit dem europäischen Recht stehen kann. Dies müsse nach der Umsetzung in die Praxis engmaschig datenschutzrechtlich überprüft werden.

Zwar sieht die Hamburger Datenschutzbehörde die geplante Einführung des „Data Protection Review Court“ als datenschutzrechtliche Kontrollinstanz grundsätzlich positiv, insbesondere als effektiv, kritisiert jedoch, dass dortige Rechtsschutzverfahren kaum transparent und nachvollziehbar seien. Auch dieser Aspekt sei bei der datenschutzrechtlichen Bewertung der Umsetzungsmaßnahmen später besonders genau zu überprüfen.

V. Wie geht es nun weiter?

Die Exective Ordner ist zunächst bloß ein Papier, dessen Inhalt in die Praxis umgesetzt werden muss. Beispielsweise müssen die US-Geheimdienste ihre Prozesse entsprechend anpassen bzw. umstellen - das braucht Zeit. Auch muss das neue US-Datenschutzgericht, das „Data Protection Review Court“ zunächst vollständig eingerichtet werden und seinen Betrieb starten.

Bereits parallel zu dieser Umsetzungsphase in den USA rechnet die Hamburger Datenschutzbehörde in den kommenden Monaten aber mit einer Befassung der EU-Kommission und einem von ihr vorgelegten Entwurf für einen sog. Angemessenheitsbeschluss, mit dem die EU-Kommission die etwaige Angemessenheit des Schutzniveaus für personenbezogene Daten im Vergleich zum EU-Datenschutzrecht feststellt.

Diesen Entwurf des Angemessenheitsbeschlusses wird dann der Europäische Datenschutzausschuss (EDSA) kritisch prüfen und bewerten. Anschließend kommt es dann ggf. zu einer finalen Entscheidung der EU-Kommission über einen Angemessenheitsbeschluss.

Sollte die Entscheidung der EU-Kommission dann so ausfallen, dass sie die Rechtslage und die gelebte Praxis in den USA als angemessenes Datenschutzniveau einstuft, dürfte dies aber (erneut) nicht das Ende sein: europäische Datenschützer haben bereits angekündigt, den Prozess ebenso kritisch zu verfolgen und einen solchen Angemessenheitsbeschluss rechtlich zu bekämpfen, falls er aus ihrer Sicht gegen EU-Datenschutzrecht verstoßen sollte.

VI. Wie ist die Einschätzung der Hamburger Datenschutzbehörde insgesamt einzuordnen?

Wir sind an sich gewohnt, dass die deutschen und europäischen Datenschutzbehörden Datentransfers in die USA kritisch gegenüberstehen. Da ist es recht ungewohnt und unerwartet, wenn eine deutsche Datenschutzbehörde etwas Hoffnung zu verbreiten scheint.

Doch Vorsicht: die Hamburger Datenschutzbehörde äußert sich bloß dahingehend, dass das, was die Executive Order beinhaltet, Schritte in die richtige Richtung sein können, wenn die Executive Order erstens so konsequent umgesetzt und zweitens in der Praxis tatsächlich auch so gelebt werden sollte. Letztlich plädiert die Behörde bloß für eine unvoreingenommene Prüfung, sobald die Maßnahmen in den USA in die Praxis umgesetzt sind und angewendet werden. Ob Übermittlungen von personenbezogenen Daten in die USA, z.B. im Rahmen der Nutzung von Google Analytics und Facebook, damit in absehbarer Zeit mit Sicherheitheit datenschutzkonform erfolgen können, steht somit weiterhin in den Sternen.

So oder so wird die praktische Umsetzung der Maßnahmen in den USA und dann auch die datenschutzrechtlichen Bewertungen durch die verschiedenen EU-Behörden noch einige Zeit in Anspruch nehmen – mit einer schnellen Lösung ist somit aktuell weiterhin nicht unbedingt zu rechnen.

VII. Was bedeutet dies für Online-Händler und andere Betreiber von Online-Präsenzen?

Wie auch die Hamburger Datenschutzbehörde betont, hat die Executive Order an der Rechtslage in den USA zum aktuellen Zeitpunkt noch nichts Entscheidendes geändert.

Die Übermittlung von personenbezogenen Daten in die USA, also etwa an Dienstleister wie Google, Facebook oder Instagram mit Sitz und Servern in den USA, bleibt bis auf Weiteres – und wohl auch noch eine gewisse Zeit lang – datenschutzrechtlich problematisch und kann nach Ansicht von Datenschutzbehörden und Gerichten in der EU gegen das EU-Datenschutzrecht verstoßen. Betreiber von Webshops und sonstigen Online-Präsenzen, die Tools oder Services einsetzen, bei denen personenbezogene Daten auch in die USA übermittelt werden, müssen daher noch mit Gegenwind, und vielleicht auch mit der einen oder anderen Abmahnwelle rechnen. Dennoch zeichnet sich am Horizont aktuell offenbar ein zarter Hoffnungsschimmer ab, dass sich etwas zum Besseren verändern könnte.

Wir informieren und beraten unsere Mandanten natürlich auch weiterhin, sobald bei diesem Thema entscheidende Veränderungen anstehen, die sich auf sie auswirken können. Mandanten, die unsere Schutzpakete abonniert haben, erhalten regelmäßige Updates zu diesem und anderen Themen per Newsletter und haben Zugriff auf viele Informationen, wie Leitfäden und Muster, zum Umgang auch mit diesen Datenschutzthemen..

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

Neues Schweizer Datenschutzgesetz ab 1. September 2023: Neue Informationspflichten für Händler
(25.08.2023, 14:25 Uhr)
Neues Schweizer Datenschutzgesetz ab 1. September 2023: Neue Informationspflichten für Händler
CH-Händler aufgepasst: Neues Schweizer Datenschutzgesetz frühestens zum September 2023
(12.07.2022, 07:46 Uhr)
CH-Händler aufgepasst: Neues Schweizer Datenschutzgesetz frühestens zum September 2023
Datenschutz im Web 2.0: Wann gilt das deutsche Bundesdatenschutzgesetz?
(14.03.2012, 07:01 Uhr)
Datenschutz im Web 2.0: Wann gilt das deutsche Bundesdatenschutzgesetz?
Datenschutz in Dubai: das “DIFC Data Protection Law”
(07.09.2011, 08:37 Uhr)
Datenschutz in Dubai: das “DIFC Data Protection Law”
USA-Datenschutz nach Safe Harbor: Änderungen nach Entscheidung der Aufsichtsbehörden
(28.07.2010, 11:56 Uhr)
USA-Datenschutz nach Safe Harbor: Änderungen nach Entscheidung der Aufsichtsbehörden
Die neuen EU-Standardvertragsklauseln: Für die Auftragsdatenverarbeitung in Drittländern und die Auswirkungen auf die Praxis
(24.03.2010, 19:58 Uhr)
Die neuen EU-Standardvertragsklauseln: Für die Auftragsdatenverarbeitung in Drittländern und die Auswirkungen auf die Praxis
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2023 · IT-Recht Kanzlei