Das Trans-Atlantic Data Privacy Framework (TADPF) schafft nach Jahren der Unsicherheit eine neue rechtliche Grundlage für die Datenverarbeitung in den USA. Daher hat die Europäische Kommission am 10. Juli 2023 einen Angemessenheitsbeschluss zur US-Datenverarbeitung gefasst, die ein hinreichendes Datenschutzniveau im Sinne der DSGVO bescheinigt.
In diesem Artikel werden wir uns anschauen, wie sich die Rechtslage konkret verändert hat, welche Vorteile das für Website-Besucher mit sich bringt und was Website-Betreiber unbedingt beachten müssen. Denn neben der Kritik am Trans-Atlantic Data Privacy Framework gibt es eine knifflige Hürde für Website-Betreiber, um US-Services wieder sicher einzubinden. Wir erklären dir auch, wie du diese Hürde ganz einfach mit Real Cookie Banner für WordPress meistern werden kannst!
Was war das Problem mit der US-Datenverarbeitung?
Die Datenschutz-Grundverordnung (DSGVO) legt ein sehr hohes Schutzniveau für die Verarbeitung personenbezogener Daten fest und gewährt umfangreiche Rechte für betroffene Personen, wie zum Beispiel Auskunftsrechte, Widerrufsrechte und das Recht auf Löschung. Das Hauptproblem bei der Datenverarbeitung in den USA bestand in den unterschiedlichen Datenschutzstandards zwischen der EU und den USA. Insbesondere die Befugnisse der US-Behörden, auf personenbezogene Daten von Nicht-US-Bürgern ohne hinreichenden Rechtsbehelf (einfach gesagt: dagegen vorgehen zu können) zuzugreifen, haben zur Möglichkeit unerwünschter Überwachung und Zugriffe seitens staatlicher Behörden in den USA geführt. Dies war für die EU eines der Probleme, um das Datenschutzniveau der USA als ausreichend zu betrachten.
Die Europäische Kommission, ein Organ der EU, hatte den USA früher bereits ein angemessenes Datenschutzniveau bescheinigt. Allerdings erklärte der Europäische Gerichtshof (EuGH) im Jahr 2020 mit dem Urteil "Schrems II" den sogenannten Angemessenheitsbeschluss zwischen der EU und den USA, das "EU-US Privacy Shield", für ungültig (ebenso wie zuvor das "Safe Harbor"-Abkommen). Kurz gesagt, sah der EuGH im Gegensatz zur Europäischen Kommission keinen ausreichenden Schutz personenbezogener Daten von EU-Bürgern in den USA.
Seit diesem Urteil ist es für Website-Betreiber als datenschutzrechtlich Verantwortliche deutlich komplizierter geworden, eine datenschutzkonforme Datenverarbeitung in den USA durchzuführen. Es sind nicht nur Auftragsverarbeitungsverträge erforderlich, sondern auch Standardvertragsklauseln und weitere Maßnahmen, um überhaupt eine Datenverarbeitung in den USA zu ermöglichen.
Wenn die Standardvertragsklauseln nicht funktionierten (oder Website-Betreiber weiter auf Nummer sicher gehen wollten), musste die Datenverarbeitung häufig auf Art. 49 DSGVO gestützt werden. Dieser Artikel beschreibt die Bedingungen für die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU oder des EWR, wenn für dieses Land kein Angemessenheitsbeschluss vorliegt. Eine spezielle Einwilligung zur Datenverarbeitung auf deiner Website gemäß Art. 49 DSGVO ist jedoch nur eine Ausnahme, die unter bestimmten Umständen genutzt werden kann. Praktisch hattest du einen langen Text zur US-Datenverarbeitung in deinem Cookie Banner:
Einige Services verarbeiten personenbezogene Daten in den USA. Indem du der Nutzung dieser Services zustimmst, erklärst du dich auch mit der Verarbeitung deiner Daten in den USA gemäß Art. 49 (1) lit. a DSGVO einverstanden. Die USA werden vom EuGH als ein Land mit einem unzureichenden Datenschutzniveau nach EU-Standards angesehen. Insbesondere besteht das Risiko, dass deine Daten von US-Behörden zu Kontroll- und Überwachungszwecken verarbeitet werden, unter Umständen ohne die Möglichkeit eines Rechtsbehelfs.
Für Website-Betreiber ist es praktisch kaum möglich, auf Dienste von US-Konzernen wie Google, Facebook, Microsoft und Co. zu verzichten, ohne sich erheblich einzuschränken. Eine wirklich sichere Datenverarbeitung hatte jedoch viele Fallstricke, wie das Urteil gegen den Einsatz von Google Fonts oder der Amtsbescheid gegen Google Analytics in Österreich deutlich gemacht haben. Eine Website rechtssicher zu betreiben war daher kein Kinderspiel mehr!
Trans-Atlantic Data Privacy Framework schafft neue rechtliche Grundlage für US-Datenverarbeitung
Am 10. Juli 2023 war es endlich so weit: Die Präsidentin der Europäischen Kommission, Ursula von der Leyen, verkündete über Twitter, dass der Angemessenheitsbeschluss für das Trans-Atlantic Data Privacy Framework beschlossen worden ist. Ein langer Name für eine Vereinbarung – weder ein Gesetz noch eine behördliche Anordnung – zwischen der EU-Kommission und dem US-Handelsministerium. In dieser Vereinbarung verpflichteten sich die USA, ihr Datenschutzniveau zu verbessern, während die EU-Kommission im Gegenzug einen Angemessenheitsbeschluss für die Übertragung und Verarbeitung von Daten in den USA erlässt.
Ein wesentlicher Aspekt des neuen Angemessenheitsbeschlusses besteht in der Schaffung eines stärkeren rechtlichen Rahmens für den Datenverkehr zwischen der EU und den USA (Englisch). Die Vereinbarung baut auf dem bestehenden Rahmenwerk des "EU-US Privacy Shield" auf, das 2020 vom Europäischen Gerichtshof aufgrund von Bedenken hinsichtlich der Überwachungspraktiken der USA für ungültig erklärt wurde. Obwohl der neue Angemessenheitsbeschluss strengere Sicherheitsmaßnahmen und verbesserte Transparenz vorsieht, gibt es weiterhin viel Kritik darüber, ob diese Maßnahmen ausreichen, um einen angemessenen Schutz der Privatsphäre zu gewährleisten. Insbesondere Noyb, die Organisation des österreichischen Juristen Max Schrems, der bereits die beiden vorherigen Angemessenheitsbeschlüsse vor den EuGH gebracht hat, äußert harsche Kritik. Außerdem plant noyb bereits rechtliche Schritte gegen den Angemessenheitsbeschluss.
Dennoch dürfte dieser Angemessenheitsbeschluss vorerst einige Jahre Ruhe in die Diskussion um die Datenverarbeitung in den USA bringen wird. Organisationen wie Noyb werden Zeit benötigen, um rechtliche Wege zu beschreiten und den neuen Angemessenheitsbeschluss von dem EuGH erneut überprüfen zu lassen. Als Website-Betreiber hast du also etwas Ruhe, um durchzuatmen!
Die genaue Bewertung des neuen Angemessenheitsbeschlusses durch den EuGH könnten Auswirkungen auf die Zukunft des Datenverkehrs zwischen der EU und den USA haben. Trotz der berechtigten Kritikpunkte ermöglicht der Angemessenheitsbeschluss einen erleichterten Datenverkehr in die USA und fördert dadurch die wirtschaftliche Zusammenarbeit. Du als Website-Betreiber kannst von der Vereinfachung der Datenübertragungsprozesse stark profitieren, da du nun nicht mehr auf alternative rechtliche Mechanismen wie Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften zurückgreifen musst. Dies reduziert den Aufwand und verringert administrative Komplexitäten, was zu einer effizienteren Zusammenarbeit führt. Zumindest in der Theorie, wie wir im Folgenden sehen werden.
Worauf müssen Website-Betreiber zukünftig bei der Datenverarbeitung in den USA achten?
Auch in Zukunft musst du einen Auftragsverarbeitungsvertrag mit dem Unternehmen abschließen, das deine Daten verarbeitet. Das gilt genauso wie für Unternehmen aus anderen sicheren oder unsicheren Ländern im Sinne der DSGVO. Aber der lange Text zur US-Datenverarbeitung in deinem Cookie Banner kann entfallen.
Allerdings gibt es einen kniffligen Teil für dich als Website-Betreiber: Der Angemessenheitsbeschluss der Europäischen Kommission für die USA, basierend auf dem Trans-Atlantic Data Privacy Framework, betrachtet die Datenverarbeitung in den USA nicht generell als sicher. Stattdessen haben US-Unternehmen nun die Möglichkeit, sich selbst gemäß dem Trans-Atlantic Data Privacy Framework und den europäischen Datenschutzgrundsätzen zu verpflichten und zu zertifizieren. Eine Liste aller zertifizierten US-Unternehmen findest du seit dem 17. Juli 2023 auf dataprivacyframework.gov, bereitgestellt von dem US-Handelsministerium. Zukünftig gelten nur Datenverarbeitungen in den USA durch zertifizierte Unternehmen als sicher. Alle anderen US-Datenverarbeitungen bleiben unsicher, es sei denn, die Anbieter treffen andere geeignete Schutzmaßnahmen wie die bereits bekannten Standardvertragsklauseln.
Praktisch bedeutet dies, dass du für die meisten US-Services keine Einwilligung nach Art. 49 DSGVO mehr in deinem Cookie Banner einholen musst oder solltest. Der lange Textbaustein zur US-Datenverarbeitung in deinem Cookie Banner kann dann entfallen (wenn keine Datenverarbeitung in anderen unsicheren Drittländern stattfindet).
Wir haben bereits mit Real Cookie Banner 3.8.0 die Möglichkeit geschaffen, anzugeben, in welchen Ländern die Datenverarbeitung stattfindet und welche als sicher gelten. Nach der Verabschiedung des Angemessenheitsbeschlusses am 10. Juli 2023 haben wir dir in Real Cookie Banner 3.9.0 die Möglichkeit geschafft, festzulegen, dass ein Service für die sichere Datenverarbeitung in den USA nach dem neuen TADPF zertifiziert ist. Außerdem kannst du jetzt alternativ die Datenverarbeitung mit Standardvertragsklauseln legitimieren.
Gehe in deinem WordPress-Backend zu Cookies > Services (Cookies) und bearbeite einen bestehenden Service oder erstelle einen neuen. Wenn im Feld "Länder der Datenverarbeitung" die Vereinigten Staaten angegeben sind, wird direkt darunter der neue Abschnitt "Sonderbehandlung für unsichere Länder" angezeigt.
Um die Checkbox "Anbieter ist nach dem Trans-Atlantic Data Privacy Framework für die sichere Datenverarbeitung in den USA selbstzertifiziert" ankreuzen zu können, musst du auf der Website dataprivacyframework.gov überprüfen, ob der Anbieter des von dir genutzten Services nach dem TADPF selbstzertifiziert ist.
Alternativ kannst du die Checkbox "Ich habe Standardvertragsklauseln mit dem Anbieter abgeschlossen" ankreuzen, wenn du einen Vertrag mit dem Anbieter hast, dessen Service du in deine Website eingebunden hast. Überprüfe diesen Vertrag, um zu sehen, ob du die sogenannten Standardvertragsklauseln darin findest. Das ist ein von der EU vorgeschriebener Vertragsbestandteil, der dir versichert, dass die Datenverarbeitung sicher im Sinne der DSGVO durchgeführt wird, egal wo auf der Welt.
Wenn du eines der beiden Checkboxen setzen kannst, wird die Einwilligung nach Art. 49 DSGVO für die US-Datenverarbeitung in deinem Cookie Banner nicht mehr eingeholt, da du sie nicht mehr benötigst.
In Kürze werden wir die entsprechenden typischen Informationen auch in alle Service-Vorlagen in Real Cookie Banner aufnehmen.
Fazit: US-Services wieder nutzbar, aber mit zusätzlichem Aufwand für Website-Betreiber
Zusammenfassend kann festgestellt werden, dass der neue Angemessenheitsbeschluss der EU für die USA einen wichtigen Schritt zur Stärkung des Datenschutzes und des transatlantischen Datenverkehrs darstellt. Die erhöhten Datenschutzstandards und verbesserten rechtlichen Rahmenbedingungen sollen sicherstellen, dass die personenbezogenen Daten der EU-Bürger angemessen geschützt werden. Dennoch bleiben berechtigte Kritikpunkte bestehen, und es bleibt abzuwarten, wie der EuGH auf eine Klage von Max Schrems reagieren wird.
Als Website-Betreiber musst du im Einwilligungsdialog (Cookie-Banner) weitere Angaben machen, da der Angemessenheitsbeschluss nicht die ganzen USA, sondern nur Datenverarbeitungen zertifizierter Unternehmen als sicher erklärt. Dadurch kannst du die allermeisten relevanten US-Services wieder rechtssicher auf deiner Website einbinden.
Sobald sich alle, für dich relevanten, US-Services nach dem Trans-Atlantic Data Privacy Framework selbst zertifiziert haben, wird auch ein großer Textblock in Cookie Bannern entfallen können. Dadurch wird die Transparenz auf deiner Website gestärkt und Website-Besucher können einfachere Entscheidungen darüber treffen, welchen Datenverarbeitungen sie zustimmen möchten und welchen nicht.