Schrems II und die Folgen für Google Analytics & Co.

In dem Beitrag werden die Auswirkungen der Schrems II Entscheidung für den Einsatz von Google Analytics erläutert. Ihre Kanzlei für IT-Recht und Datenschutz in der Nähe von München berät Sie zu diesem Thema.

Wer ist von Schrems II betroffen?

Um es gleich Vorweg zu sagen, kaum ein Unternehmen kommt an der Schrems II Entscheidung vorbei ( Schrems II, EuGH Aktenzeichen C-311/18). Zunächst bindet das Urteil zwar nur die Parteien selbst, hat aber Auswirkungen auf alle Gerichte und Behörden der EU-Mitgliedsstaaten, die in Zukunft über die Zulässigkeit eines Datentransfers in die USA zu entscheiden haben. Von dem Urteil des EuGHs sind alle Unternehmen betroffen, die Dienste und Tools nutzen, bei denen es zu einer Übertragung von personenbezogenen Daten in die USA kommt. Dies ist u. a. bei der Nutzung von Tracking Tools wie Google Analytics, Video Conference Systemen, Cloud-Anbietern und vielen anderen Diensten von US-Unternehmen der Fall.

Auf welcher Grundlage können Daten in Drittländer wie die USA übermittelt werden?

Personenbezogene Daten dürfen nur dann in ein Land außerhalb der Europäischen Union übermittelt werden, wenn dort ein angemessenes Datenschutzniveau gewährleistet wird oder Unternehmen aktive Schutzmaßnahmen ergriffen und beispielsweise sog. Standarddatenschutzklauseln vereinbart haben. Durch das Privacy Shield sollte ein Schutzniveau geschaffen werden, das dem der EU gleichwertig ist. Der EuGH hat in der Schrems II Entscheidung ein angemessenes Schutzniveau verneint und das Privacy Shield nun für ungültig erklärt. Grund dafür ist, dass Nachrichtendienste der USA weitreichende Zugriffsrechte auf die in den USA gespeicherten Daten haben, ohne dass hinreichende Rechtsschutzmöglichkeiten der Betroffenen bestehen. Darin sahen die Richter des EuGHs einen unzulässigen Eingriff in die Grundrechte von EU-Bürgern.

Was ist jetzt zu tun?

Einheitliche Vorgaben der Datenschutzbehörden, wie nach der Schrems II Entscheidung des EuGHs ein rechtskonformer Datentransfer in die USA durchgeführt werden kann, fehlen bisher. Die Landesdatenschutzbehörden haben jedoch klargestellt, dass es für den Übergang keine Schonfrist gibt. Unternehmen müssen daher umgehend tätig werden, wenn sie Dienste mit Transferproblematik nutzen. Es ist unbedingt eine Bestandsaufnahme im Unternehmen durchzuführen, um solche Dienste zu identifizieren. Im Anschluss müssen Maßnahmen ergriffen, um einen datenschutzkonformen Einsatz der Dienste sicherzustellen oder auf Alternativangebote ohne Transferproblematik umgestellt werden. Eine Handlungsempfehlung dazu hat das LfDI Baden Württemberg herausgegeben.1
Wenn Unternehmen untätig bleiben, können die Datenschutzbehörden die Nutzung der Dienste untersagen und Bußgelder verhängen.

Sollten Sie Fragen zum datenschutzkonformen Einsatz von Google Analytics und Co. haben, kommen Sie gerne auf uns zu!

Ihre Kanzlei für IT-Recht und Datenschutz München