von RA Phil Salewski

Nach Wegfall des Privacy Shield: Google will US-Datentransfers auf Standardvertragsklauseln stützen – was nun?

News vom 04.08.2020, 11:01 Uhr | 2 Kommentare 

Am 16.07.2020 hat der EuGH das US-EU-Datenschutzschild „Privacy Shield“ für ungültig erklärt. Datentransfers in die USA können fortan nicht mehr auf das Übereinkommen gestützt werden. In der Folge drohten Dienste nahezu aller US-Softwareanbieter, Daten rechtswidrig in die USA zu übermitteln. Besonders betroffen vom Wegfall des Privacy Shield war die Google LLC mit seinen zahlreichen Tracking- und Analysediensten. Jüngst kündigte das Unternehmen aber an, auf eine alternative, geeignete Garantie für Datentransfers umzustellen – dies bereits zum 12.08.2020. Was dies für Online-Händler bedeutet und welche Auswirkungen sich für Datenschutz und Datenschutzerklärung ergeben, stellen wir im Folgenden dar.

I. Hintergrund

Google übermittelt über seine zahlreichen Dienste (Google Analytics, Google Adwords Conversion Tracking, Google Marketing Platform, Google Maps etc.) standardmäßig Nutzerdaten auf Google Server in den USA.

Die DSGVO schreibt für Datenübermittlungen aus der EU in Drittländer in Art. 44 und 46 DSGVO aber geeignete Garantien vor. Als eine solche Garantie galt bis zur Kassation durch den EuGH das EU-US-Datenschutzschild „Privacy Shield“, auf das Google sich standardmäßig berief.

Durch den Wegfall des Schutzschildes konnten Übermittlungen von EU-Daten in die USA durch Google-Dienste aber nicht weiter gerechtfertigt werden, sie drohten, rechtswidrig zu sein.
Google war insofern gehalten, Abhilfe zu schaffen und eine andere, von der DSGVO anerkannte Transfergarantie zu schaffen.

Die DSGVO erkennt hierfür in Art. 46 DSGVO unter anderem

  • verbindliche interne Datenschutzvorschriften (Art. 47 DSGVO)
  • genehmigte Verhaltensregeln (Art. 40 DSGVO) und
  • von der EU-Kommission genehmigte Standard-Datenschutzklauseln

an.

asd

II. Google will sich auf Standard-Datenschutzklauseln berufen

Nach einer aktuellen Mitteilung Googles an Seitenbetreiber will das Unternehmen Transfers von EU-Daten in die USA ab dem 12.08.2020 allgemein auf Standard-Datenschutzklauseln der EU-Kommission stützen. Google kündigte an, hierzu bestehende Datenverarbeitungsverträge um die Klauseln zu erweitern.

Übersetzt lautet Googles aktuelle Mitteilung wie folgt:

Lieber Partner,

Aufgrund der jüngsten Entscheidung des Gerichtshofs der Europäischen Union über Datenübertragungen, mit der das Privacy Shield ungültig gemacht wurde, wird Google auf Standardvertragsklauseln (SCCs) für die Übermittlung von Online-Werbung und die Messung personenbezogener Daten aus dem Wirtschaftsraum Europa,Schweiz und Großbritannien umsteigen.

Wir werden daher unsere bestehenden Datenverarbeitungsbedingungen für Google Ads, die Datenschutzbestimmungen für Google Ads Controller-Controller und die Datenschutzbestimmungen für Google Measurement Controller-Controller Data aktualisieren, um die von der Europäischen Kommission angenommenen relevanten SCCs hinzuzufügen.

Wir nehmen diese Aktualisierungen ausschließlich vor, um die Einhaltung der DSGVO zu gewährleisten. Die Updates gewähren Google keine zusätzlichen Rechte für Daten. Wenn die Datenschutzbestimmungen für Google Ads Data Processing oder die Datenschutzbestimmungen für Google Ads Controller-Controller bereits Bestandteil Ihres Vertrags sind (oder wenn Sie die Datenschutzbestimmungen für Google Measurement Controller-Controller, sofern verfügbar, separat akzeptiert haben), gelten die Aktualisierungen ab dem 12. August. 2020.

Weitere Informationen finden Sie in diesem Artikel, den wir weiterhin aktualisieren oder (falls zutreffend) mit Ihrem Google-Vertreter sprechen.

Vielen Dank,

Das Google-Team

https://privacy.google.com/businesses/compliance/#!#gdpr

III. Grund zum Aufatmen?

Google gibt an, durch die Implementierung der Standard-Datenschutzklauseln nunmehr für eine datenschutzkonforme Handhabung von EU-Daten in den USA sorgen zu können.

Was für Seitenbetreiber nach einem Grund zum Aufatmen klingt, sieht datenschutzrechtlich aber leider anders.

So betonte jüngst die Datenschutzkonferenz der Bundesländer ausdrücklich, dass bei Datenübertragungen in die USA die bloße Aufnahme von Standard-Datenschutzklauseln nicht ausreicht, um einen angemessenen Datenschutz auf der anderen Seite des Atlantik zu gewährleisten.

Hintergrund ist, dass US-Sicherheitsbehörden weitreichende Zugriffsrechte auf Datenbestände haben, die in den USA verarbeitet werden. Für Betroffene aus Europa kann dies mit einem hohen Datensicherheitsrisiko einhergehen, weil sie im Zweifel nicht wissen, ob, wie und zu welchen Zwecken ihre Daten behördlich genutzt werden. Auch haben sie keine Interventionsrechte, um vom Zugriff erfasste Daten nachträglich in Auskunft zu bringen, zu löschen oder zu berichtigen.

Die bloßen Standard-Klauseln können die Verpflichtung von US-Unternehmen, auf behördliches Gesuch hin umfangreiche Daten zur Verfügung zu stellen, aber nicht aufheben.

Nach Ansicht führender Datenschützer sind daher auf Unternehmensebene zusätzliche Maßnahmen zum Schutz von EU-Daten erforderlich.

Dass Google auch solche implementieren will, geht aber aus der Mitteilung nicht hervor.

IV. Fazit: Risiko besteht weiterhin

Die bloße Übernahme von Standard-Datenschutzklauseln durch Google ist nach derzeitiger Auffassung nicht ausreichend, um das von der DSGVO geforderte Datenschutzniveau bei US-Datentransfers zu gewährleisten.

Seitenbetreiber, die Google-Dienste nutzen, riskieren daher auch mit der Umstellung Googles zum 12.08.2020 weiterhin, EU-Daten rechtswidrig in die USA zu übermitteln.

Das Risiko, das nach dem Wegfall des Privacy Shield bestand, wird also für Google-Dienste erst einmal fortbestehen.

Welche Handlungsmöglichkeiten Seitenbetreiber im Angesicht dessen haben, lesen Sie hier.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Basis der IT-Recht-Kanzlei Facebookseite und Gruppe?

11.08.2020, 22:12 Uhr

Kommentar von Rudolf Meiser

Ich finde Ihre Ausführungen hier sehr richtig und wichtig. Angesichts dessen frage ich mich jedoch, auf welcher Basis die IT-Recht-Kanzlei aktuell ihre Facebookseite und Gruppe betreibt? Hier sind...

Herr

04.08.2020, 19:54 Uhr

Kommentar von Andreas Margenfeld

Eine sehr gute Betrachtung der Problematik. Ich schätze jedoch, das "Google" zur Zeit nicht das einzige brennende Problem ist. Ich fürchte das eine noch viel größere Zahl von Nutzern (ich auch) von...

© 2005-2020 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller
IT-Recht Kanzlei München 311
4.9 5