Google muss aktuell (ebenso wie wir alle) auf das Urteil des Europäischen Gerichtshofs vom 16.7.2020 zum Thema Datenaustausch mit den USA reagieren.
In diesem Urteil, das Sie HIER im Original nachlesen können, wurde das sogenannte ‚Privacy-Shield‘-Abkommen, das die Rechte von EU-Bürgern an ihren Daten im Drittland USA nach Vorgaben der DS-GVO schützen sollte, für nichtig erklärt und aufgehoben. Das Fazit lautete, dass bei einer Datenübertragung in die USA aktuell keine ausreichende Sicherung und Rechtewahrung für EU-Bürger vorhanden sei, da die US-Regierung mit Berufung auf den ‚Patriot Act‘ jederzeit Daten von amerikanischen Unternehmen wie Google oder Facebook auslesen könne.
Google reagiert deshalb nun mit der Einführung von Standarddatenschutzklauseln (ehemals Standardvertragsklauseln oder englisch ‚SCC‘), die das Unternehmen vorher nicht genutzt hat. Das Urteil des EuGH besagt zwar, dass diese Klauseln weiter zur Aufrechterhaltung des Datenschutzes genutzt werden können (eine Erläuterung mit noch immer gültiger Mustervorlage finden Sie HIER), doch dass zu prüfen sei, ob diese Klauseln angesichts der oben beschriebenen Rechte seitens der Regierung ausreichen, um ein Level an Datenschutz zu gewährleisten, das wir in Deutschland und dem Rest der EU aufgrund der Datenschutz-Grundverordnung als Maßstab nehmen.
Auf jeden Fall zeigt Google mit diesem Schritt guten Willen und nimmt das EuGH-Urteil ernst. Maximilian Schrems, dem Kläger gegen das ursprüngliche ‚Safe Harbour‘ Abkommen (Vorläufer des Privacy Shield), geht es auch in erster Linie darum, dass Daten nicht in die USA übertragen werden sollen, wenn dies gar nicht notwendig ist. (Seine persönliche Stellungnahme im Interview mit der Tagesschau können Sie HIER finden.)
Sicher gibt es für Dienstleistungen wie das Hosting einer Webseite oder das Versenden eines Newsletters auch gute Alternativen im europäischen Raum. Doch wir als Google-Ads-Agentur und Sie als Google-Ads-Nutzer wollen ja explizit die Reichweite des US-Riesenkonzerns für unsere jeweiligen Unternehmenszwecke nutzen. Wir bitten um Ihr Verständnis, dass wir natürlich keine Rechtsberatung durchführen oder verbindliche Aussagen zu diesem umfassenden Urteil treffen können.
Doch wir gewähren Ihnen gerne Einblick in unsere internen Schlüsse:
Zunächst muss man der Informationspflicht gegenüber den eigenen Kunden nachkommen. Das heißt, dass in die Datenschutzerklärung (wenn nicht bereits geschehen) Art. 49 Abs. 1 lit. a DSGVO mit aufgenommen werden muss, der sich auf die Übertragung von Daten in ein ‚unsicheres Drittland‘ bezieht – denn als solches gelten die USA seit dem Urteil offiziell. Darüber hinaus wird etwas noch viel wichtiger als ohnehin schon: der Cookie-Opt-Out-Hinweis. Um datenschutzrechtlich auf der sicheren Seite zu sein, sollte eine (informierte) Einwilligung der Endnutzer vorliegen. Es bietet sich an, diese mit dem Cookie-Fenster zu verbinden, das datenschutzkonform nicht nur ein grauer Balken am unteren Rand sein sollte, sondern tatsächlich die Seite überdeckt, sodass man diese nicht nutzen kann, ohne eine Einwilligung zu geben. Hier sollte in Zukunft auch der Hinweis auftauchen, dass die Daten in ein unsicheres Drittland (USA) übertragen werden. Zusätzlich ist es ebenfalls notwendig, dass über die spezifischen Risiken informiert wird, zum Beispiel, dass man als Europäer in diesem Drittland keine rechtliche Grundlage hat, die gespeicherten Daten offenlegen zu lassen oder einer Speicherung im Nachhinein zu widersprechen.
Die Interpretation des EuGH-Urteils geht in Datenschutzkreisen noch auseinander. Auch die Berichterstattung lässt Raum für Spekulation, wie das Urteil in den nächsten Wochen von Unternehmen konkret umgesetzt wird. Eine oben vorgeschlagene Umsetzung der Einwilligung durch die Nutzer im Cookie-Consent mag abschreckend klingen, doch aus datenschutzrechtlicher Sicht ist dies der sicherste Weg, um bei einer Überprüfung eine angemessene Reaktion auf den Fall des Privacy Shield nachweisen zu können, da ein kompletter Abbruch der Datenübertragung in die USA für unser aller Geschäftszweige eine völlig unwirtschaftliche Reaktion wäre.
Wir hoffen, dass wir damit Ihre ersten Nachfragen zum Thema klären konnten, und bitten Sie darum, sich nähere Beratung durch einen Rechtsanwalt und/oder Ihre/n Datenschutzbeauftragte/n einzuholen. Das ‚European Data Protection Board‘ hat außerdem HIER die häufigsten Fragen zum Urteil zusammengefasst.