Nachdem das Privacy Shield durch den europäischen Gerichtshof gekippt wurde, nutzen zahlreiche Datenschützer dies als Gelegenheit, um weitere Klagen einzureichen. Wo erst noch die Rede von Übergangsfristen und gangbaren Alternativen, wie etwa Standardvertragsklauseln, war, werden Betreiber nun mit Anklagen überhäuft.
Privacy Shield Klage-Überblick
Das Unternehmen nyob erstellte kürzlich den sogenannten EU-US-Transfers Beschwerdenüberblick. Ganze 101 Klagen aufgrund Verstosses gegen den Datenschutz sind darin enthalten. Auffällig in der Liste sind die verarbeitenden Unternehmen: ausschliesslich Google und Facebook stehen im Fokus der argwöhnischen Datenschützer.
Kürzlich berichteten wir darüber, dass Google nach Kippung des Privacy Shield Abkommens nun auf Standardvertragsklauseln für die Datenverarbeitung zwischen EU und US-Unternehmen setzt. In unserem Post gingen wir bereits davon aus, dass mindestens ein Kläger sich mit dieser Lösung nicht zufrieden geben würde: Max Schrems, Datenschutz-Aktivist, zog seinerzeit bereits erfolgreich gegen Facebook vor Gericht.
Google und Facebook werden daher nun beschuldigt, Datentransfers zwischen EU und USA auf Basis unzureichender Regelungen zum Datenschutz durchzuführen. Das Privacy Shield ist nichtig und Googles Standard-Klauseln scheinen ebenso ungenügend.
Klagen gegen Privacy Shield in aller Herren Länder
Die Klage-Übersicht streckt sich derweil über viele verschiedene Länder. In der Spalte “Country” sind die Länder verzeichnet, die Ausgangspunkt für die “unerlaubten” Datentransfers bilden. Dazu zählen Österreich, Irland – was erneut den Fokus auf Facebooks Sitz in Dublin verdeutlicht -, Schweden, Norwegen, Polen, Frankreich, Spanien, Italien… im Grunde nahezu alle europäischen Länder.
In der Spalte daneben finden sich die “Übeltäter” – wie eingangs erwähnt, ausnahmslos Google und Facebook. Als Daten-Importeure mit unzureichenden Regelungen zum Datenschutz sind sie aufgrund ihrer Integrationen von zugehörigen Services in die ebenfalls gelisteten Webseiten Ziel der Klagen.
Wer ist der wahre Übeltäter?
Angeklagt sind damit faktisch nicht Google oder Facebook, sondern die Betreiber der Webseiten. Für die Nutzung von Services von Google und Facebook integrieren sie deren Dienste in die jeweilige Webseite. Die Rede ist also von Google Analytics sowie Facebook Connect Integrationen. Diese Dienste, die beispielsweise als Login-Systeme für unabhängige Webseiten oder eben im Sinne des Advertisings Anwendung finden, basieren auf teils veralteten Privacy Shield Regelungen.
Dennoch kann man im Grunde nicht anklagend mit dem Finger auf Jemanden zeigen. Wo ursprünglich noch die Rede von Übergangsfristen war, wurden diese gesetzlich nirgends klar definiert. Leider folgen auf Klagen im Hinblick auf den Datenschutz wie das Privacy Shield Abkommen auch nur äusserst selten Vorschläge für passende Alternativen.
Privacy Shield oder Datenschutz-Klage – was tun?
Der europäische Gerichtshof formulierte seine Anforderungen an den Datenschutz nicht ganz deutlich. So hiess es, dass Standardvertragsklauseln durchaus anwendbar seien. Das Privacy Shield Abkommen hingegen ist unbestritten nichtig.
Bei der Wahrung des Datenschutzes im Sinne der gesetzlichen Konformität kommt es darauf an, dass in allen Ländern, zwischen denen Datentransfers stattfinden, quasi dieselben Bedingungen erfüllt sein müssen. Heisst soviel wie: sowohl Absender als auch Empfänger sowie jegliche eventuelle “Zwischenstellen” müssen die an den Datenschutz gesetzten Standards erfüllen. Schafft eine der Stellen das nicht, kann eine Klage vor Gericht die unangenehme Folge sein.
Bald auf unserem Blog: Eine Alternative zu Google Analytics und Co.
In Kürze stellen wir Ihnen eine gangbare Alternative für Tracking- und Monitoring-Dienste wie etwa Google Analytics vor: Matomo. Im Sinne des höchsten Datenschutz-Standards sind wir ebenso wie seriöse Webseiten-Betreiber stets auf der Suche nach Lösungen, die für alle Parteien verträglich sind. Maximaler Schutz der Kunden-Privatsphäre und dennoch eine Möglichkeit, wertvolle Erkenntnisse zu gewinnen – vollständig anonymisiert und ohne Rückschlüsse auf einzelne Personen.