Ich habe mir soeben ein Webinar mit einem Rechtsanwalt gegönnt, welches das Thema „Data Privacy Framework“ im Hinblick auf den Datenschutz und die Übertragung von persönlichen Daten in die USA zum Thema hatte. Es gibt hier interessante -wenn auch vorläufige- Entwicklungen, die ich für euch gerne zusammenfassen möchte.
Vorgeschichte: die USA als Datenverarbeiter
Für alle, die die letzten ca. zehn Jahre unter einem Stein oder mit dem Kopf im Sand verbracht haben und sich um den Datenschutz nicht gekümmert haben: es besteht eine heikle Situation im Bereich des Datenschutzes in der IT (Websites, Online-Dienste…), weil insbesondere die USA auf der einen Seite zwar sehr viele zentrale und weit verbreitete Dienste bereitstellen, auf der anderen aber die gesetzliche Situation in den USA so gestaltet ist, dass der behördliche Zugriff auf persönliche Daten von EU-Bürgern nach den Anforderungen der EU-Gesetzgebung wiederum nicht ausreichend verhindert wird – das Datenschutzniveau, das die EU fordert, ist also nicht gewährt.
Es gab bereits früher zwei Versuche, dieses Problem zu beseitigen: ab dem Jahr 2000 galt das sogenannte „Safe Harbor“-Abkommen, das eine Klage vor dem EU-Gericht durch den Österreicher Max Schrems und seine Non-Profit-Organisation NOYB (None Of Your Business) 2015 zu Fall brachte. Das Gericht entschied damals, dass der Datenschutz in den USA nicht ausreichend gewährleistet war, und damit endete das Abkommen.
Weil aber nun mal so gut wie jeder von US-Diensten und Dienstleistern wie Google, Microsoft, Apple uvm. abhängig war, wurde bereits 2016 ein neues Abkommen unter dem Namen Privacy Shield abgeschlossen. Dieses brachte Schrems auch auf die gleiche Weise erneut zu Fall: 2020 wurde der Privacy Shield durch den Europäischen Gerichtshof gekippt.
Bis zum Jahr 2023 war also wieder kein rechtskonformer Einsatz von US-Tools zur Verarbeitung persönlicher Daten möglich. In diesem Jahr nun wurde weitgehend der alte Wein in dem neuen Schlauch „Data Privacy Framework“ erneut aufgelegt. Dieses Abkommen ist jetzt bereits gültig. Schrems und NOYB sagen, dass es auch wieder nicht besser ist als früher, und die Klage ist bereits vorbereitet. Manche Datenschutzbehörden (und ich auch) folgen dieser Ansicht, andere sagen, dass die minimalen Änderungen gegenüber früher ausreichen und es möglich ist, dass die Klage gegen das DPF scheitert.
Genaues werden wir erst dann wissen, wenn der Europäische Gerichtshof die Sache geklärt hat. Aber bis dahin gilt das DPF und bringt etwas mehr Rechtssicherheit.
Was können wir in der Zwischenzeit nun tun?
Das Data Privacy Framework gilt bereits. Das bedeutet zum Beispiel, dass eine Abmahnwelle bzgl. der Google Fonts, wie wie sie letztes Jahr hatten, zurzeit so nicht mehr möglich ist. Wer bisher immer noch Google Fonts bei jedem Besuch der Website von Google Servern lädt, statt die Schriften lokal einzusetzen, ist also zumindest rechtlich vorerst nicht mehr angreifbar, auch wenn die lokale Lösung aus Gründen der Technik und der Geschwindigkeit bei Weitem sinnvoller ist.
Das Data Privacy Framework tut allerdings nur eines: es bietet eine Datenschutzregelung, die seitens der EU als ausreichend betrachtet wird. Damit gelten für den Einsatz der Dienstleister und Dienstleistungen dieselben Regeln wie für europäische Dienstleister und Dienstleistungen.
Das bedeutet, dass eine Einwilligung in allen Fällen auch immer noch dann notwendig ist, wenn das bei einem EU-Dienst auch der Fall wäre. Beispiel: Google Analytics ist ein Trackingdienst, der die Verfolgung und Profilierung von Websitebesuchern über mehrere Websites hinweg ermöglicht. Das ist nach der DSGVO nur nach ausdrücklicher Einwilligung erlaubt. Denn wenn es ein deutsches vergleichbares Produkt aus Hintertupfingen gäbe, dann müsste auch dieses erst eine Einwilligung einholen.
Dienste, die tracken, Werbezwecke erfüllen oder Cookies setzen, die nicht nur technisch notwendig sind, erfordern eine Einwilligung. Ob sie in der EU oder den USA beheimatet sind, spielt keine Rolle. Die Dienste aus den USA konnte man vorher nur mit zusätzlichem rechtlichem Risiko einsetzen, auch wenn man mit der Einwilligung alles richtig gemacht hat, weil es nach dem Privacy Shield und vor dem Data Privacy Framework einfach keine gültige rechtliche Basis gab, in die man wirksam hätte einwilligen können.
Wichtig: das Data Privacy Framework betrifft nur Dienste und Anbieter aus den USA und nicht aus anderen Ländern. Es ist also alles andere als ein globaler Freifahrtschein.
Übrigens reicht es auch nicht, dass ein Anbieter eines Dienstes seinen Sitz in den USA hat. Das Data Privacy Framework sieht eine Zertifizierung vor. Nur zertifizierte Anbieter sind durch das Framework abgedeckt.
Wie finde ich heraus, ob ein Unternehmen nach dem Data Privacy Framework gültig zertifiziert ist?
Die Prüfung, ob ein US-Anbieter nach dem Data Privacy Framework gültig zertifiziert ist, ist glücklicherweise nicht schwierig. Es gibt eine offizielle Website, auf der man nach dem Firmennamen (nicht dem Dienst!) suchen kann:
https://www.dataprivacyframework.gov/s/participant-search
Wenn ihr diese Website aufruft, könnt ihr in einer langen Liste suchen. Hier der aktuelle Eintrag exemplarisch für Google:
Folgende Dinge sind wichtig: Unter dem Firmennamen steht das Wort „active“. Steht hier „inactive“, gilt die Zertifizierung nicht! In der Mitte wird gezeigt, dass sowohl die europäischen als auch die schweizerischen Anforderungen erfüllt werden (seit dem 1.9.2023 hat die Schweiz ein DSGVO-ähnliches Datenschutzgesetz). Außerdem gibt es rechts zwei Einträge unter „Covered Data“. „HR“ bezieht sich auf die Human Resources, das sind die eigenen Mitarbeiter des Unternehmens, und ist daher für unsere Zwecke in der Regel unwichtig. Wir benötigen den Eintrag „Non-HR“, denn die persönlichen Daten, die wir durch diese Anbieter verarbeiten lassen, dürften in der Regel nicht zu Angestellten der Anbieter gehören. Fehlt also „Non-HR“, dann gilt die Zertifizierung für unsere Zwecke auch nicht.
Jetzt könnt ihr also prüfen, ob die von euch eingesetzten US-Unternehmen DPF-zertifiziert sind oder nicht. Ggfs. werdet ihr eure Datenschutzerklärungen entsprechend anpassen müssen. Und bleibt wachsam, denn wenn das Data Privacy Framework tatsächlich wieder gecancelt wird, dann haben wir wieder dieselbe Situation wie in den letzten Jahren: Einsatz von US-Anbietern nur auf eigene Gefahr.
Möglichkeiten, wenn ein US-Anbieter nicht zertifiziert ist
Manche US-Anbieter befinden sich noch im Tiefschlaf. Zoom beispielsweise wird von der Zoom Video Communications Inc. in Kalifornien angeboten. Diese Firma steht Stand heute nicht in der Liste der zertifizierten Unternehmen. Zoom sind übrigens auch die, die sich kürzlich erlauben lassen wollten, die gespeicherten Mitschnitte von Zoom Meetings zur KI-Schulung einzusetzen. Nutzt lieber was Europäisches wie Jitsi. Aber das nur am Rande.
Man kann nun mit einem US-Anbieter kommunizieren und ihn auf die Zertifizierung hinweisen. Bei kleineren Unternehmen mag das schon reichen, damit sie es tun. Der Prozess soll nicht besonders schwierig sein. Ob ein großes Unternehmen aber auf einzelne Anfragen hört, ist fraglich. Dann ist es aber immer noch möglich, den gleichen Weg zu gehen, den man auch bei Datenverarbeitern in anderen unsicheren Drittländern gehen kann: Standardvertragsklauseln vereinbaren und ggfs. eine Risikoanalyse durchführen lassen. Diese beiden Themen behandele ich hier und heute aber nicht.
Also klipp und klar: ohne Standardvertragsklauseln und Risikoanalyse ist der Einsatz von Zoom auch unter dem Data Privacy Framework im Moment noch keinen Deut legaler als vor ein paar Monaten.
Beispiel für komplexere Systeme: Website-Baukästen
Dass ich nichts von Website-Baukästen halte, habe ich bereits umfassend erläutert. Wer sich aber dennoch gerne auf diese Weise im Internet unauffindbar machen möchte, kann dies nun etwas legaler tun. Nehmen wir als Beispiel den Webbaukasten von WIX. WIX steht nicht in der Liste der DPF-zertifizierten Unternehmen und kann das auch gar nicht, weil es ein israelisches Unternehmen ist. Israel gilt (vorläufig noch, wenn man sich die aktuellen Nachrichten von dort ansieht) als sicheres Drittland. Der Einsatz von WIX wäre also auch so schon kein Problem, wenn WIX nicht auf US-Technik für seinen Dienst setzen würde. WIX baut seine Websites aus Elementen auf Servern in Serverfarmen aus den USA auf. Es nutzt dafür die Server-Infrastruktur von Google. Für diese wiederum gilt nun das DPF.
Aber: fällt das DPF, dann wird der Einsatz von WIX, israelische Firma hin oder her, datenschutzrechtlich wieder äußerst fragwürdig.
Gleiches gilt natürlich auch für weitere Dienstleister, die z.B. in der EU beheimatet sind, aber Google-, Amazon- oder Microsoft-Clouddienste für ihre Dienstleistung verwenden. Echte dauerhafte Sicherheit bietet nur ein Dienst, der rechtlich und technisch komplett in der EU beheimatet ist. Es steht zu wünschen, dass entsprechende Dienste in der EU auch zunehmend gegründet und bereitgestellt werden.
Das Angebot zum Schluss
Wenn ihr möchtet, dass ich mir eure Websites bzgl. der Nutzung US-amerikanischer Dienste und der Datenschutzerklärung einmal anschaue, könnt ihr unsere Datenschutzanalyse für eure Website buchen. Diese deckt unter anderem ab sofort auch die Neuerungen durch das Data Privacy Framework ab.
