Ihre Ansprechpartnerinnen zum IT-Recht und Datenschutz in der Nähe von München:
Elisabeth Wiesner

Elisabeth Wiesner, LL.M.
Rechtsanwältin

Tel. 089 46 13 48 39
Fax 089 46 13 48 40
kanzlei@dprotect.de

Sigrid Wild

Sigrid Wild, LL.M.
Rechtsanwältin und Fachanwältin für IT-Recht
EuroPriSe Expertin (CEPE L PS)

Tel. 089 46 13 48 39
Fax 089 46 13 48 40
kanzlei@dprotect.de

Schrems II und die Folgen für Google Analytics & Co.

 

Wer ist von Schrems II betroffen?

 

Um es gleich Vorweg zu sagen, kaum ein Unternehmen kommt an der Schrems II Entscheidung vorbei ( Schrems II, EuGH Aktenzeichen C-311/18). Zunächst bindet das Urteil zwar nur die Parteien selbst, hat aber Auswirkungen auf alle Gerichte und Behörden der EU-Mitgliedsstaaten, die in Zukunft über die Zulässigkeit eines Datentransfers in die USA zu entscheiden haben. Von dem Urteil des EuGHs sind alle Unternehmen betroffen, die Dienste und Tools nutzen, bei denen es zu einer Übertragung von personenbezogenen Daten in die USA kommt. Dies ist u. a. bei der Nutzung von Tracking Tools wie Google Analytics, Video Conference Systemen, Cloud-Anbietern und vielen anderen Diensten von US-Unternehmen der Fall.


Auf welcher Grundlage können Daten in Drittländer wie die USA übermittelt werden?


Personenbezogene Daten dürfen nur dann in ein Land außerhalb der Europäischen Union übermittelt werden, wenn dort ein angemessenes Datenschutzniveau gewährleistet wird oder Unternehmen aktive Schutzmaßnahmen ergriffen und beispielsweise sog. Standarddatenschutzklauseln vereinbart haben. Durch das Privacy Shield sollte ein Schutzniveau geschaffen werden, das dem der EU gleichwertig ist. Der EuGH hat in der Schrems II Entscheidung ein angemessenes Schutzniveau verneint und das Privacy Shield nun für ungültig erklärt. Grund dafür ist, dass Nachrichtendienste der USA weitreichende Zugriffsrechte auf die in den USA gespeicherten Daten haben, ohne dass hinreichende Rechtsschutzmöglichkeiten der Betroffenen bestehen. Darin sahen die Richter des EuGHs einen unzulässigen Eingriff in die Grundrechte von EU-Bürgern.


Was ist jetzt zu tun?


Einheitliche Vorgaben der Datenschutzbehörden, wie nach der Schrems II Entscheidung des EuGHs ein rechtskonformer Datentransfer in die USA durchgeführt werden kann, fehlen bisher. Die Landesdatenschutzbehörden haben jedoch klargestellt, dass es für den Übergang keine Schonfrist gibt. Unternehmen müssen daher umgehend tätig werden, wenn sie Dienste mit Transferproblematik nutzen. Es ist unbedingt eine Bestandsaufnahme im Unternehmen durchzuführen, um solche Dienste zu identifizieren. Im Anschluss müssen Maßnahmen ergriffen, um einen datenschutzkonformen Einsatz der Dienste sicherzustellen oder auf Alternativangebote ohne Transferproblematik umgestellt werden. Eine Handlungsempfehlung dazu hat das LfDI Baden Württemberg herausgegeben.1
Wenn Unternehmen untätig bleiben, können die Datenschutzbehörden die Nutzung der Dienste untersagen und Bußgelder verhängen.


Sollten Sie Fragen zum datenschutzkonformen Einsatz von Google Analytics und Co. haben, kommen Sie gerne auf uns zu!

 

Ihre Kanzlei für IT-Recht und Datenschutz München

Scroll to Top