Das wichtigste zuerst: Durch das am 10. Juli 2023 eingetretene EU – US Data Privacy Framework (DPF) ist der Datenaustausch und damit die Nutzung von Tracking-/ Analytic- und Marketing-Tools aus den USA (z.B. Google Analytics, Webflow, Youtube, Cloudflare, etc.) zwischen EU und USA unter bestimmten Voraussetzungen wieder möglich.
Welche das sind und worauf du als Unternehmer oder Websiteverantwortlicher achten musst, erfährst du im folgenden. Vorher schauen wir uns an,was das Privacy Shield überhaupt ist und warum eine Version 2.0 notwendig war.
Das Ende des Privacy Shield 1.0
Was war das Privacy Shield 1.0?
Privacy Shield 1.0 trat 2016 in Kraft und war ein Datenschutzabkommen zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA), das den internationalen Datentransfer von personenbezogenen Daten zwischen beiden Regionen regelte. Es wurde entwickelt, um sicherzustellen, dass personenbezogene Daten von EU-Bürgern, die in die USA übertragen wurden, angemessen geschützt wurden.
Dieses Abkommen wurde 2020 aufgrund von Bedenken hinsichtlich des Datenschutzes und des Zugriffs der US-Regierung auf Daten für ungültig erklärt und im Juli 2023 durch Privacy Shield 2.0 ersetzt.
Warum wurde das Privacy Shield 1.0 aufgehoben?
Im Juli 2020 entschied der Europäische Gerichtshof (EuGH), dass die Datenschutzrechte der EU-Bürger nicht ausreichend gewährleistet waren, insbesondere aufgrund des breiten Zugriffsrechts der US-Geheimdienste darauf.
Auswirkungen auf Unternehmen und Datenschützer
Von da an wurde das Nutzen von Diensten, Programmen und Tools, die beim Aufrufen von Webseiten die personenbezogenen Daten des EU-Bürgers an Server in die USA übermitteln, unzulässig. Es war nur noch unter umfangreichen Maßnahmen (z.B. nur nach ausführlicher Erklärung im Cookie-Banner und Einwilligung des Besuchers einsetzbar. Das war jedoch nie eindeutig rechtssicher, man bewegte sich immer in einer Grauzone, weil es einfach keine 100% Vorgabe und Lösung gab.
Privacy Shield 2.0: Die Wiederbelebung
Was bringt dasPrivacy Shield 2.0 mit sich?
Privacy Shield 2.0 wurde entwickelt, um die Lücken des vorherigen Abkommens zu schließen und den Datenschutz im internationalen Datentransfer zu gewährleisten.
Die USA gewährleistet darin, dass die Daten, die aus der EU an US-Unternehmen übermittelt werden, im Schutzniveau der EU zu verarbeiten. Allerdings nur bei Unternehmen, die an dem Abkommen teilnehmen. Dafür müssen Unternehmen durch ein Selbstzertifizierungsverfahren des US-Handelsministeriums. Diese Zertifizierung muss jedes Jahr neu erfolgen.
Unterschiede zwischen Privacy Shield 1.0 und 2.0
Privacy Shield 2.0 wurde mit dem klaren Ziel entwickelt, einen verbesserten Schutz der Privatsphäre und Datensicherheit zu bieten.
Hier sind einige konkrete Unterschiede zwischen Privacy Shield 1.0 und 2.0:
- Strengere Überwachung und Durchsetzung: Privacy Shield 2.0 führt eine effektivere Überwachung und Durchsetzung der Datenschutzbestimmungen ein. Die US-Behörden verpflichten sich, die Einhaltung strikterer Regeln und Vorschriften zu gewährleisten.
- Klare Begrenzung von Zugriffsrechten: Privacy Shield 2.0 gibt klarere Begrenzungen für den Zugriff der US-Regierung auf europäische Daten vor. Dies soll den Datenschutz der EU-Bürger besser schützen.
- Stärkere Verpflichtungen für Unternehmen: Unternehmen, die Privacy Shield 2.0 nutzen möchten, müssen sich stärkeren Verpflichtungen unterziehen. Sie müssen beispielsweise unabhängige Streitbeilegungsmechanismen zur Verfügung stellen und jährliche Compliance-Überprüfungen durchführen.
- Mehr Transparenz: Größerer Schwerpunkt auf Transparenz. Unternehmen müssen ihre Datenschutzpraktiken klar und verständlich kommunizieren und Informationen über die Datenverarbeitung bereitstellen.
- Beschwerdemechanismen: Privacy Shield 2.0 stärkt die Rechte der EU-Bürger, Beschwerden bei Datenschutzverstößen einzureichen. Es gibt klare Verfahren zur Untersuchung und Beilegung solcher Beschwerden.
- Jährliche Überprüfungen: Im Unterschied zum vorherigen Privacy Shield-Abkommen, das alle vier Jahre überprüft wurde, unterliegt Privacy Shield 2.0 jährlichen Überprüfungen, um sicherzustellen, dass die Datenschutzanforderungen kontinuierlich erfüllt werden.
Diese Unterschiede machen Privacy Shield 2.0 zu einem robusteren Rahmenwerk für den internationalen Datentransfer und sollen sicherstellen, dass personenbezogene Daten angemessen geschützt werden.
Was gibt es jetzt zu beachten
DPF-Zertifizierung prüfen
Auf der Website des Data Privacy Framework Programs kann man die Unternehmen einsehen, die sich für das Privacy Shield 2.0 zertifizieren haben lassen.
Außerdem ist es wichtig zu prüfen, ob die entsprechende Art der Datenübermittlung von der Zertifizierung abgedeckt ist.
Datenschutzerklärung & Cookie-Banner aktualisieren
Die DPF-Zertifizierung muss beim jeweiligen Anbieter in der Datenschutzerklärung angegeben sein. Erfreulich dabei ist, dass man die langen Hinweistexte bei DPF-zertifizierten Unternehmen nicht mehr benötigt.
Für die Hinweise im Cookie-Banner gilt dasselbe: Auch hier muss die DPF-Zertifizierung angegeben werden. Allerdings kann der übliche, lange Hinweis zum Einsatz von US-Tools entfernt werden – vorausgesetzt, es sind nur DPF-Zertifizierte Tools im Einsatz.
Kurzer Exkurs, da mir täglich falsch konfigurierte Cookie-Banner auffallen: Cookie Banner müssen klar informieren, benutzerfreundlich sein und funktionieren. Das heißt im Detail:
- Transparenz und Information: Cookie Banner müssen den Nutzer über die Art der gesammelten Daten, den Zweck der Datenverarbeitung und die Möglichkeiten zur Ausübung von Rechten wie Widerspruchs- oder Widerrufsrecht informieren.
- Benutzerfreundlichkeit: Cookie Banner müssen einfach verständlich sein und dem Nutzer die Möglichkeit geben, seine Einwilligung in die Datenverarbeitung einfach und unkompliziert zu erteilen oder zu widerrufen.
- Technische Korrektheit: Cookie Banner müssen sicherstellen, dass die Entscheidung des Nutzers wirksam ist. Wenn der Nutzer nicht einwilligt, darf auch keine Verbindung hergestellt werden!
Zurück zum Thema: Was gibt es noch zu beachten.
Einwilligung im Cookie-Banner abholen
Das Data Privacy Framework erübrigt die Einholung der Einwilligung der Besucher nicht, sobald ein nicht essenziell notwendiges Cookie gesetzt wird.
Erfolgt lediglich ein Datenaustausch ohne Cookies, wie z.B. bei Google Maps, ist keine Einwilligung mehr notwendig – vorausgesetzt die Angaben in der Datenschutzerklärung und im Cookie-Banner sind wie soeben erklärt angegeben.
War’s das jetzt? Zukunftsaussichten des Privacy Shield 2.0
Die Einführung von Privacy Shield 2.0 hat gemischte Reaktionen hervorgerufen. Zwei wichtige Aspekte dabei spielten die Akzeptanz und Kritik.
Akzeptanz an Privacy Shield 2.0
Einige Unternehmen und Datenschutzexperten begrüßen Privacy Shield 2.0 als einen Schritt in die richtige Richtung. Sie sehen die strengeren Überwachungs- und Durchsetzungsmechanismen als positiven Fortschritt, der den Datenschutz verbessert. Sie glauben, dass Privacy Shield 2.0 Unternehmen eine klare und rechtliche Grundlage für den internationalen Datentransfer bietet, was zur Stärkung des Vertrauens und der Datensicherheit beiträgt.
Zusätzlich schätzen einige europäische Unternehmen Privacy Shield 2.0 als notwendiges Instrument, um weiterhin Geschäfte mit US-Partnern zu tätigen. Es gibt die Hoffnung, dass dieses Abkommen den reibungslosen Datenfluss zwischen den beiden Kontinenten sicherstellt, was für viele Branchen von wichtiger Bedeutung ist.
Kritik an Privacy Shield 2.0
Trotz der positiven Aspekte gibt es bereits erhebliche Kritikpunkte an Privacy Shield 2.0:
- Nicht ausreichender Schutz: Datenschutzaktivisten und einige EU-Datenschutzbehörden argumentieren, dass Privacy Shield 2.0 nach wie vor nicht ausreichend ist, um die Datenschutzrechte der EU-Bürger zu schützen. Sie glauben, dass der Zugriff der US-Regierung auf Daten immer noch zu umfangreich ist und die Überwachung nicht ausreicht.
- Unsicherheiten wegen rechtlicher Herausforderungen: Einige befürchten, dass Privacy Shield 2.0 erneut rechtlichen Herausforderungen ausgesetzt sein könnte, ähnlich wie sein Vorgänger. Dies könnte zu Unsicherheiten für Unternehmen führen, die den Datentransfer in die USA benötigen.
- Mangelnde Langfristigkeit: Privacy Shield-Abkommen haben in der Vergangenheit eine begrenzte Lebensdauer gehabt, was zu Unsicherheiten über die Langfristigkeit der Regelungen führt. Dies könnte die Investitionsentscheidungen von Unternehmen beeinflussen.
Insgesamt bleibt die Akzeptanz von Privacy Shield 2.0 ein umstrittenes Thema, und seine Wirksamkeit wird sich erst im Laufe der Zeit zeigen. Unternehmen und Datenschutzexperten müssen die Entwicklungen in diesem Bereich genau verfolgen.
Fazit
Das Privacy Shield 2.0 ist ein wichtiger Schritt in die richtige Richtung, da für den Moment zumindest Klarheit herrscht, was Webseitenbetreiber beachten müssen. Dennoch ist ungewiss, ob die aktuelle Version auf Dauer ausreicht.
Wichtig: Das Abkommen ändert nichts daran, dass sich weiterhin die Einwilligung der Tools, die Daten in die USA übermitteln und nicht essenziell notwendige Cookies setzen, eingeholt werden muss!
Hi Christian,
Danke für die Übersicht! Da ich in der Website-Erstellung viel mit Webflow arbeite, war das Thema Datenschutz immer ein großes Thema. Ich hoffe, dass der Privacy Shield 2.0 jetzt auch Bestand hat! Eigentlich ist es schade, dass Firmen wie Webflow, Shopify & Co. da so wenig Eigeninitiative zeigen und keine Server-Strukturen in Europa aufbauen. Aber naja, dann muss man sich halt auf solche Abkommen verlassen.
Danke für den Beitrag & Viele Grüße
Fabian
Hi Fabian,
freut mich, wenn ich mit dem Beitrag ein wenig helfen konnte.
Ich drücke dir die Daumen, dass das Privacy Shield 2.0 hält. Für Webflow relativ wichtig!
Beste Grüße,
Christian
Hallo Christian,
erst einmal ein großes Dankeschön für diesen ausführlichen und sehr informativen Beitrag zum Privacy Shield 2.0! Als Online Marketing Agentur stehen wir jeden Tag vor der Herausforderung, unseren Kunden die bestmöglichen Marketing-Tools anzubieten und gleichzeitig sicherzustellen, dass ihre Daten sicher und konform behandelt werden.
Es fühlt sich an wie ein ständiges Tauziehen zwischen Datenschutz und effektivem Online-Marketing, besonders in einer Welt, in der die Digitalisierung rasant voranschreitet. Dein Artikel hat Licht in das oft verwirrende Thema des transatlantischen Datentransfers gebracht.
Besonders interessant fand ich den Punkt zur DPF-Zertifizierung und der Notwendigkeit, die Datenschutzerklärung & Cookie-Banner regelmäßig zu aktualisieren. Genau solche Details sind für uns von großer Bedeutung, um sicherzustellen, dass wir immer auf der sicheren Seite sind.
Ich muss zugeben, dass ich bei der Einführung von Privacy Shield 2.0 zuerst skeptisch war. Besonders nach dem Scheitern von Privacy Shield 1.0. Aber Deine Analyse der Unterschiede zwischen beiden Versionen und die Zukunftsaussichten gibt Hoffnung.
Allerdings teile ich Deine Bedenken bezüglich der Langfristigkeit und möglicher rechtlicher Herausforderungen. Das ist definitiv ein Thema, das wir alle weiterhin im Auge behalten müssen.
Nochmals vielen Dank für diesen großartigen Beitrag! Wir werden sicherlich wiederkommen und Deinen Blog weiterverfolgen, um immer auf dem neuesten Stand zu bleiben.
Liebe Grüße,
Šukri
P.S. Das mit den falsch konfigurierten Cookie-Bannern erleben wir auch täglich. Ein bisschen Humor in dieser ernsten Angelegenheit! 😅
Hi Šukri,
danke für dein tolles Feedback! Freut mich natürlich, wenn meine Beiträge weiterhelfen.
Wie bei fast allen digitalen Themen heißt es „dran bleiben“.
Ich war mal eben auf eurer Website und habe gesehen, dass ihr bei eurem Cookie-Banner opt-out anwendet. Laut Urteil des EuGH im Oktober 2019 ist das nicht erlaubt, einzig rechtlich zulässig ist opt-in. Der Besucher muss die Checkbox selbst aktivieren. Nur ein nett gemeinter Hinweis 🙂
Falls dich ein Thema besonders interessiert, über das ich schreiben soll, lass es mich gerne wissen.
Viele Grüße,
Christian