Privacy Shield 2.0: Was der neue transatlantische Datenschutzrahmen für Webseitenbetreiber bedeutet
10 Min. Lesezeit
Am 10. Juli 2023 gab die Europäische Kommission ihren Angemessenheitsbeschluss für den Datenschutzrahmen zwischen der EU und den USA bekannt, der auch als Data Privacy Framework (DPF) oder Privacy Shield 2.0 bezeichnet wird. Basierend auf diesem Rahmenwerk können Daten an US-Unternehmen übertragen werden, die diesem beigetreten sind, ohne dass Sie als Datenexporteur zusätzliche Schutzmaßnahmen ergreifen müssen. Angesichts der entscheidenden Rolle von Datentransfers in der globalen Wirtschaft ist dies ein überaus bedeutsamer Schritt. Doch was genau bedeutet der Privacy Shield 2.0 für Sie als Webseitenbetreiber?
Hinweis
Bitte beachten Sie, dass wir keine rechtliche Ausbildung oder Zulassung als Anwalt haben. Des Weiteren sind wir auch kein zertifizierter Datenschutzbeauftragter. Alle Informationen oder Ratschläge, die wir geben, basieren auf unserer Erfahrung und unserem Wissen in diesem Bereich.
Es ist wichtig, dass Sie die Informationen, die wir Ihnen geben, überprüfen und Ihre eigenen unabhängigen Recherchen durchführen, bevor Sie Entscheidungen treffen. Es ist auch wichtig zu betonen, dass eine Beratung in Bezug auf die Datenschutzgesetze allgemein sehr komplex sein kann. Wenn Sie nicht über ausreichende Kenntnisse und Erfahrung im Bereich Datenschutz verfügen, sollten Sie möglicherweise in Betracht ziehen, einen zertifizierten Datenschutzbeauftragten oder einen Anwalt für Datenschutzrecht zu Rate zu ziehen.
Wir übernehmen keine Haftung für Schäden oder Verluste, die aus der Nutzung unserer Beratungsdienste entstehen können.
In welche Länder dürfen personenbezogene Daten übermittelt werden?
Als Grundsatz gilt, dass personenbezogene Daten nicht ohne angemessene Datenschutzvorkehrungen in unsichere Drittstaaten übermittelt werden dürfen. Es geht hier um die Übermittlung von personenbezogenen Daten — insbesondere für Sie als Webseitenbetreiber — von Webseiten, Tools, Plugins, Hostern oder anderen Diensten oder durch sonstige Dienstleister in datenschutzrechtlich unsichere Drittstaaten. Beachten Sie jedoch, dass hiervon nicht nur Online-Dienste betroffen sind, sondern auch sämtliche Dienstleister aus unsicheren Drittstaaten betroffen sein können.
Welche Länder gelten aber als datenschutzrechtlich sicher? Sie dürfen Daten innerhalb Deutschlands, der EU und des EWR (Island, Norwegen, Liechtenstein) ohne Einschränkung übermitteln. Darüber hinaus sind gemäß der DS-GVO auch sogenannte sichere Drittstaaten definiert, in die die Datenübermittlung ausdrücklich gestattet ist. Zu diesen gehören:
- Andorra
- Argentinien
- Kanada (nur kommerzielle Organisationen)
- Färöer
- Guernsey
- Israel
- Isle of Man
- Jersey
- Neuseeland
- Schweiz
- Uruguay
- Japan
- das Vereinigte Königreich
- Südkorea
Was ist also mit den USA? Die USA galten lange Zeit nicht als sicherer Drittstaat, bis endlich der Privacy Shield 2.0 in Kraft trat.
Was bedeutet Privacy Shield 2.0 für Webseitenbetreiber?
Das aktuelle DPF stellt fest, dass der Schutz personenbezogener Informationen in den USA auf einem Niveau liegt, das mit dem in der EU vergleichbar ist. Dadurch wird die Übertragung von Daten an US-Unternehmen ohne zusätzliche Schutzmaßnahmen ermöglicht. Diese Anerkennung gilt jedoch nur für Unternehmen, die sich am EU-US-Datenschutzabkommen beteiligen. Diese Teilnahme erfolgt durch ein Selbstzertifizierungsverfahren beim US-Handelsministerium (DoC – Department of Commerce). Hierbei muss ein Unternehmen verschiedene Unterlagen einreichen. Wenn diese vollständig sind, wird die Organisation in die DPF-Liste aufgenommen und gilt gemäß den Kriterien des neuen Datenschutzrahmens als selbst zertifiziert.
Im Großen und Ganzen kann die rechtskonforme Nutzung von US-Tools wieder aufgenommen werden, sofern der Anbieter über eine DPF-Zertifizierung verfügt.
Welche Tools von welchen US-Anbietern können rechtskonform eingesetzt werden?
Wenn Sie durch die Nutzung von Tools auf Ihrer Website personenbezogene Daten gemäß dem DPF in die USA übertragen möchten, müssen Sie vorab auf der Website der Datenschutzbehörde überprüfen, ob der US-Datenempfänger von der Datenschutzbehörde zertifiziert ist und ob die beabsichtigte Datenübermittlung von dieser Zertifizierung abgedeckt ist. Hierzu steht eine Datenbank zur Verfügung, ähnlich wie beim Vorgänger „Privacy Shield 1.0“. In dieser Datenbank sind die zertifizierten US-Unternehmen aufgeführt und können auf der Website des DPF-Programms unter dem Abschnitt „Data Privacy Framework List“ eingesehen werden.
Tipp: Bevor Sie mit der Suche beginnen, ermitteln Sie die Unternehmen oder Anbieter, von denen Ihre verwendeten Tools stammen. Beachten Sie, dass es auf der oben genannten DPF-Liste nicht möglich ist, nach dem Namen Ihres verwendeten Tools zu suchen; stattdessen können Sie nur nach dem Namen des Anbieters dieses Tools suchen.
Bei der Suche werden Sie feststellen, dass bei den aufgeführten Unternehmen verschiedene Aktivitätsstatus vorhanden sind. Im Folgenden erläutern wir Ihnen, was diese bedeuten.
- Active
Das Unternehmen verfügt über eine DPF-Zertifizierung, wodurch der Einsatz von Tools und Programmen dieses Anbieters rechtskonform ist.
- Inactive
Das Unternehmen war im Rahmen des vorherigen Abkommens „EU-US Privacy Shield (Privacy Shield 1.0)“ gelistet und zertifiziert, hat jedoch bisher keine Zertifizierung gemäß dem neuen DPF durchgeführt. Daher ist für die Nutzung von Tools und Programmen dieses Unternehmens zusätzlich geeigneter datenschutzrechtlicher Schutz erforderlich, beispielsweise in Form von Standardvertragsklauseln.
Falls Sie ein Unternehmen nicht in der Liste finden, deutet dies darauf hin, dass das Unternehmen weder eine DPF-Zertifizierung besitzt noch unter dem vorherigen Abkommen „EU-US Privacy Shield“ registriert war. In solchen Fällen ist es erforderlich, ergänzende, angemessene datenschutzrechtliche Sicherheitsvorkehrungen zu treffen, um Tools und Programme dieses Unternehmens nutzen zu können.
Ist die Einwilligung für Tracking- und Analysetools trotz Privacy Shield 2.0 weiterhin erforderlich?
Sie müssen weiterhin die Einwilligung für fast alle Tracking- und Analysetools (z.B. Hotjar, Google Analytics, Adobe Analytics, usw.) über ein Cookie Consent Tool einholen. Es spielt hier keine Rolle, ob das Tool aus den USA stammt oder nicht. Der Nutzer sollte in der Lage sein, selbst zu entscheiden, ob er möchte, dass die Tools auf Ihrer Webseite Daten über ihn sammeln. Der Datentransfer in die USA ist ein getrenntes Thema.
Das Inkrafttreten des DPF legitimiert lediglich die Verwendung von US-Tools und bedeutet nicht, dass Sie für solche Tools keine Einwilligung mehr über ein Cookie Consent Tool einholen müssen. Die rechtliche Notwendigkeit zur Einholung einer Einwilligung bleibt daher unverändert bestehen.
Was ändert sich in Datenschutzerklärung und Cookie-Banner?
Die neue Privacy Shield 2.0-Zertifizierung sowie die dazugehörigen Angaben zum Datenempfänger müssen in den Datenschutzhinweisen des Datenexporteurs aktualisiert werden, sowohl in der Datenschutzerklärung als auch im Cookie-Banner.
Als Webseitenbetreiber dürfen Sie jedoch die Hinweistexte zur US-Datenübertragung aus Ihrem Cookie-Banner entfernen, wenn:
- alle auf Ihrer Webseite verwendeten Tools gemäß dem DPF zertifiziert sind,
- Ihre Datenschutzerklärung aktualisiert wurde,
- Sie keine Tools aus anderen unsicheren Drittstaaten verwenden.
Was ist mit Unternehmen ohne DPF-Zertifizierung?
Falls das von Ihnen eingesetzte Tool von einem Unternehmen stammt, das weder in der DPF-Liste aufgeführt ist, als „inaktiv“ geführt ist oder aus einem anderen unsicheren Staat kommt, sind Sie verpflichtet, mit diesem Unternehmen die von der Europäischen Union bereitgestellten Standardvertragsklauseln (SCC) abzuschließen. Darüber hinaus müssen Sie im Rahmen eines Transfer Impact Assessments (TIA) eine eigene Bewertung des Schutzniveaus für die Datenübermittlung durchführen.
Bei nicht gelisteten oder inaktiven US-Unternehmen wird empfohlen, das Unternehmen zu kontaktieren und nachzufragen, ob eine DPF-Zertifizierung vorgesehen ist.
Die Verwendung der Tools von Anbietern ohne Zertifizierung ist also nicht zwangsläufig ausgeschlossen, selbst wenn keine Selbstzertifizierung erfolgt. In solchen Fällen steht Ihnen als Datenexporteur leider nach wie vor ein aufwändiger Prozess bevor.
Fazit
Das frisch verabschiedete EU-US Data Privacy Framework ist nun offiziell in Kraft getreten. Doch bis zu diesem Punkt war es ein anspruchsvoller Weg. Es besteht weiterhin die Möglichkeit, dass die Freude von begrenzter Dauer sein könnte. Eine Klage gegen das DPF vor dem EuGH wurde bereits angekündigt. Welche Auswirkungen hat dies für Sie als Webseitenbetreiber und Unternehmer? Aktuell gilt es zunächst einmal, geduldig abzuwarten. Es wird einige Zeit dauern, bis möglicherweise eine neue Entscheidung getroffen wird.
Ulrike Ahmad
Ulrike Ahmad ist Founder und CEO von lemisa GmbH und beschäftigt sich seit mehr als 25 Jahren mit den Themen SEO und Online Marketing.