News

Was ändert sich datenschutzrechtlich in Bezug auf den Betrieb einer Internetseite durch das Ende des Safe-Harbor Abkommens mit den USA?

Was ändert sich datenschutzrechtlich in Bezug auf den Betrieb einer Internetseite durch das Ende des Safe-Harbor Abkommens mit den USA? Was ändert sich datenschutzrechtlich in Bezug auf den Betrieb einer Internetseite durch das Ende des Safe-Harbor Abkommens mit den USA?
Autor: Johnny Chocholaty LL.B.

Veröffentlicht: 10.05.2017

Im Herbst 2015 hat der europäische Gerichtshof (EuGH), das höchste europäische Gericht, entschieden, dass das sog. “Safe-Harbor”-Abkommen mit den USA unwirksam ist.

De facto wurde so jegliche Übertragung von personenbezogenen Daten in die USA von einer Sekunde auf die andere rechtswidrig, da die hierfür geschaffene Rechtsgrundlage plötzlich fehlte. Das abgeschlossene Nachfolgeabkommen “EU US Privacy Shield” ist noch nicht in Kraft getreten, da diverse Vertreter von EU-Mitgliedsstaaten Bedenken gegne das Abkommen geäußert haben.

Zudem ist bereits schon jetzt unter Fachleuten umstritten, ob dieses neue Abkommen einer erneuten gerichtlichen Prüfung stand halten würde. Für Internetseitenbetreiber und Betreiber von Online-Shops hat diese Hängepartie hohe praktische Relevanz.

Viele Webservices, wie z.B. das Newsletter-Tool “Mailchimp” oder zahlreiche beliebte Services, wie z.B. “Cloudfront” übertragen ungefragt personenbezogene Daten in die USA.

Da die weiteren potentiellen rechtlichen Grundlagen für einen Transfer von personenbezogenen Daten in die USA (EU-Standardvertragskaluseln und Binding Corporate Rules) für Internetseitenbetreiber und Online-Shop-Betreiber nur sehr schlecht oder gar nicht einsetzbar sind, sollte man bis auf Weiteres personenbezogene Daten nicht durch Webservices erheben, verarbeiten oder speichern lassen, die Rechenzentren außerhalb der EU nutzen. Problematisch daran ist, dass bereits durch die Einbindung eines einzigen Youtube-Videos auf einer Internetseite personenbezogene Daten ungefragt in die USA übertragen werden und z.B. Google dann erfährt, welche Google-Nutzer die jeweilige Seite, auf der das Youtube-Video eingebunden wurde, gerade besuchen.

Somit liegt – so lange das EU-US-Prvacy-Shield Abkommen noch nicht in Kraft ist – ein rechtswidriger datenschutzrechtlich relevanter Vorgang vor. Das Video muss dazu noch nicht einmal gestartet werden. Ebenso kann Facebook durch die massenhaft verwendeten Facebook-Like-Buttons Bewegungsprofile der eigenen Mitglieder im Netz erstellen und herausfinden, ob der User sich eher für Sportschuhe oder Lederschuhe interessiert.

Je mehr Informationen gesammelt werden, desto personalisierter und zielgerichteter kann dann die nachfolgende Werbung gesteuert werden. Mit den strengen Vorgaben des deutschen Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG) sind diese gängigen Praktiken alleridings nicht vereinbar. Entsprechend wurde die Einbindung des Facebook-Like-Buttons Anfang des Jahres 2016 als abmahnfähiger Datenschutzverstoß gewertet.

Wer nun angesichts dieser datenschutzrechtlichen Vorgaben das Ende des Internets befürchtet, geht fehl. Datenschutzfreundliche Techniken, wie z.B. Share-Buttons, die erst bei einem Klick auf den Button personenbezogene Daten übertragen sind für alle gängigen CMS-System und Shop-Systeme verfügbar. Ebenso leicht ließen sich Youtube-Videos einbinden, ohne dass Youtube bereits durch den reinen Aufruf einer Internetseite ungefragt und ohne jegliche rechtliche Grundlage, personenbezogene Daten übermittelt werden. Das vom deutschen Datenschutzrecht vorgegebene Prinzip der Datensparsamkeit läuft aber dem Interesse der großen Internetfirmen zuwider, möglicht gut über einzelne Nutzer Bescheid zu wissen, um diesen gezielte Werbung und maßgeschneiderte Services anbieten zu können.