Nachdem das Privacy Shield durch den europäischen Gerichtshof gekippt wurde, nutzen zahlreiche Datenschützer dies als Gelegenheit für weitere Klagen. Wo erst noch die Rede von Übergangsfristen und gangbaren Alternativen wie Standardvertragsklauseln war, werden Betreiber nun mit Anklagen überhäuft.
Privacy Shield Klage-Überblick
Das Unternehmen noyb erstellte kürzlich den sogenannten EU-US-Transfers Beschwerdenüberblick. Ganze 101 Klagen aufgrund Verstosses gegen den Datenschutz sind darin enthalten. Auffällig in der Liste: die verarbeitenden Unternehmen. Ausschliesslich Google und Facebook stehen im Fokus.
Wir berichteten bereits, dass Google nach Kippung des Privacy Shield Abkommens auf Standardvertragsklauseln für die Datenverarbeitung zwischen EU und US-Unternehmen setzt. Damals gingen wir davon aus, dass mindestens ein Kläger sich damit nicht zufrieden geben würde — Max Schrems, Datenschutz-Aktivist, zog bereits erfolgreich gegen Facebook vor Gericht.
Google und Facebook werden nun beschuldigt, Datentransfers zwischen EU und USA auf Basis unzureichender Datenschutz-Regelungen durchzuführen. Das Privacy Shield ist nichtig. Googles Standardvertragsklauseln scheinen ebenso ungenügend.
Klagen gegen Privacy Shield in aller Herren Länder
Die Klage-Übersicht erfasst viele verschiedene Länder. In der Spalte «Country» stehen die Länder, die Ausgangspunkt für die «unerlaubten» Datentransfers bilden: Österreich, Irland — was den Fokus auf Facebooks Sitz in Dublin nochmals verdeutlicht —, Schweden, Norwegen, Polen, Frankreich, Spanien, Italien. Im Grunde nahezu alle europäischen Länder.
In der Spalte daneben finden sich die «Übeltäter» — ausnahmslos Google und Facebook. Als Daten-Importeure mit unzureichenden Datenschutz-Regelungen sind sie durch ihre Integrationen zugehöriger Services in die ebenfalls gelisteten Webseiten ins Visier geraten.
Wer ist der wahre Übeltäter?
Angeklagt sind faktisch nicht Google oder Facebook, sondern die Betreiber der Webseiten. Wer Services von Google und Facebook einbindet, integriert deren Dienste in die eigene Webseite — konkret: Google Analytics und Facebook Connect. Diese Dienste, etwa als Login-Systeme oder für Advertising, basieren teils auf veralteten Privacy Shield Regelungen.
Dabei ist es schwer, anklagend auf jemanden zu zeigen. Übergangsfristen wurden gesetzlich nie klar definiert. Und auf Klagen im Datenschutz folgen leider nur selten konkrete Vorschläge für passende Alternativen.
Privacy Shield oder Datenschutz-Klage – was tun?
Der europäische Gerichtshof formulierte seine Anforderungen an den Datenschutz nicht ganz deutlich. Standardvertragsklauseln seien durchaus anwendbar — das Privacy Shield Abkommen hingegen ist unbestritten nichtig.
Für gesetzliche Konformität im Datenschutz gilt: In allen Ländern, zwischen denen Datentransfers stattfinden, müssen quasi dieselben Bedingungen erfüllt sein. Absender, Empfänger und jede «Zwischenstelle» müssen die gesetzlichen Datenschutz-Standards einhalten. Schafft eine Stelle das nicht, droht eine Klage.
Bald auf unserem Blog: Eine Alternative zu Google Analytics und Co.
In Kürze stellen wir dir eine gangbare Alternative für Tracking- und Monitoring-Dienste wie Google Analytics vor: Matomo. Im Sinne des höchsten Datenschutz-Standards suchen wir — wie seriöse Webseiten-Betreiber — stets nach Lösungen, die für alle Parteien verträglich sind. Maximaler Schutz der Privatsphäre und trotzdem wertvolle Erkenntnisse — vollständig anonymisiert, ohne Rückschlüsse auf einzelne Personen.