Kommt eine Privacy Shield Nachfolge oder ist es doch nur eine Sternschnuppe? Letzte Woche wurde bekannt, dass sich die USA und die EU im Zieleinlauf in Sachen Verhandlungen über einen Nachfolger des Privacy Shield Abkommens befinden. Zur Erinnerung: Das Privacy Shield Abkommen war ein Angemessenheitsbeschluss der die Übermittlung von personenbezogenen Daten zwischen der EU und …
Licht am Horizont in Sachen „Privacy Shield“ Weiterlesen
Kommt eine Privacy Shield Nachfolge oder ist es doch nur eine Sternschnuppe?
Letzte Woche wurde bekannt, dass sich die USA und die EU im Zieleinlauf in Sachen Verhandlungen über einen Nachfolger des Privacy Shield Abkommens befinden. Zur Erinnerung: Das Privacy Shield Abkommen war ein Angemessenheitsbeschluss der die Übermittlung von personenbezogenen Daten zwischen der EU und den USA DSGVO-konform gemacht hatte. Dieses Abkommen wurde vom EuGH gekippt. Seitdem besteht eine große Rechtsunsicherheit bei der Nutzung von US-Tools, die Daten in die USA übermitteln. Insbesondere die – mittlerweile zahlreichen – Bescheide Europäischer Datenschutzbehörden am Beispiel der Verwendung von Google Analytics zeigen die Tragweite dieses Thema auf.
Erst vor ein paar Tagen hat auch die Dänische Datenschutzbehörde entschieden, dass Google Analytics ohne weitere Maßnahmen nicht DSGVO-konform eingesetzt werden kann. “Wir haben uns die möglichen Einstellungen in Google Analytics vorsichtig angesehen und sind zu dem Schluss gekommen, dass man dieses Tool nicht verwenden kann, ohne zusätzliche Maßnahmen zu treffen”, so Makar Juhl Holst, hochrangiger Jurist bei der Dänischen Datenschutzbehörde. Die Behörde in Dänemark hat sich bei ihrem Spruch an den bereits ergangenen Bescheiden der Österreichischen, Französischen und Italienischen Datenschutzbehörden orientiert, die Anfang des Jahres ihre Entscheidungen fällten. Wie genau diese „weiteren Maßnahmen“ aussehen müssen, ist allerdings nicht in allen Anwendungsfällen bei der Übermittlung von personenbezogenen Daten in die USA klargestellt. Bei der Verwendung von Google Analytics kann man sich technologisch helfen – wie etwa mit Server Side Tracking – bei Tools wie E-Mailing- oder Marketing-Automation-Systemen ist die Sache etwas komplexer.
Daher warten Marketer in Europa sehnlichst auf das „Trans Atlantic Data Privacy Framework“, den Nachfolger des Privacy Shield Abkommens. Laut einem Bericht im Magazin „Politico“ kann man damit im Frühjahr 2023 rechnen – also in rund 6 Monaten. Aber ist das wirklich das Heilmittel oder wieder nur ein Pflaster, das über die Wunde geklebt wird? Über den Inhalt des Abkommens ist noch nicht viel bekannt, auch nicht ob und vor allem wie das grundlegende Problem des nicht verhältnismäßigen Datenschutzniveaus von Nicht US-Bürgern gelöst wird. Solange der US-Geheimdienst weiter Zugriff auf die Daten von EU-Bürgern hat, wird wohl auch das neue Abkommen nicht für lange Zeit gültig sein. Es ist nur eine Frage der Zeit, bis wann auch dieses durch den EuGH gekippt wird. Daher können wir weiterhin nicht empfehlen, das Thema auszusitzen und auf das „Trans Atlantic Data Privacy Framework“ zu warten. Allen die noch nicht aktiv geworden sind, sei geraten – wo möglich – Europäische Alternativen ins Auge zu fassen. Wo das nicht möglich ist, sollten zusätzliche Maßnahmen wie etwa Server Side Tracking oder andere Verschlüsselungstechnologien umgesetzt werden, die die Übermittlung personenbezogener Daten in die USA verhindern.
Wir bleiben jedenfalls dran und halten euch up-to-date sobald mehr zu Inhalten und Timeline bekannt ist!
Eure
Alexandra Vetrovsky-Brychta