Die Executive Order 12333, die NSA und Folgen des Privacy-Shield Urteils
Dieser Blogpost spiegelt eigene Einschätzungen basierend auf meinen Recherchen aus Veröffentlichungen, Webinaren, Stellungnahmen und Verlautbarungen von Datenschutzbehörden, Rechtsanwälten und themenfokussierten Blogs dar und ersetzt keine rechtsfreundliche Beratung:
Am 16.7. 2020 kippte der EUGH das “Privacy Shield” Abkommen zur Datenübertragung von der EU in die USA. Dieses Urteil, mit sofortiger Wirksamkeit, basierte auf der Einschätzung des EUGH, dass das Datenschutzniveau in den USA nicht ausreichend ausgestaltet ist, um personenbezogene Daten von EU-BürgerInnen in den USA zu schützen. Gleichzeitig hat der EUGH darüber hinaus auch den europäischen Datenschutzbehörden jeglichen Spielraum genommen, indem er angewiesen hatte, dass Datentransfers ohne Angemessenheit untersagt werden müssen. Aus dieser Situation heraus resultiert eine große Rechtsunsicherheit, was den Transfer von Daten in die USA und die Nutzung von Software, SaaS, Cloud- oder Messengerservices betrifft, für europäische Unternehmen. Wie sollen beispielsweise Daten in der Cloud abgelegt, Werbung über soziale Medien geschaltet oder sharepoints rechtskonform zukünftig genutzt werden?
Der Privacy Shield ist nicht die einzige Variante gewesen, mittels der personenbezogene (pb) Daten in die USA transferiert werden können; es gibt nämlich noch die so genannten Standardvertragsklauseln (“SCCs – Standard Contract Clauses”), auf die sich Unternehmen beim Datentransfer beziehen können. Diese SCCs sind auch weiterhin noch gültig, jedoch gilt hier Vorsicht: Als Importeur von Daten dürfen diese nur auf Anweisung des Europäischen Datenverantwortlichen verarbeitet werden und die Weitergabe (z.B. an Geheimdienste) ist untersagt. Gleichzeitig gilt jedoch die Executive Order 12333, mittels der die US-amerikanische NSA jedoch eine Rechtsgrundlage hat, sämtlichen Datenverkehr in die USA abzufangen und zu analysieren. Damit ist auch das Datenschutzniveau nicht “angemessen”, um SCCs vorbehaltlos und “unüberprüft” anzuwenden. Und in den genehmigten Vorlagen für die Standardvertragsklauseln ist die Verpflichtung die beiden Vertragsparteien vorgesehen, bei Unmöglich der Einhaltung der SCCs, die Übermittlung sofort einstellen zu müssen.
Webseiten-Analyse mit Blueberry Phantom
- Ohne Cookies
- Erfassung aller Nutzer
- Kein Vorschaltbanner notwending & keine Datenübermittlung an Tech-Konzerne
Folgen für EU-Unternehmen
Diese Entscheidung hat für viele Unternehmen, die zahlreiche Datenverarbeitungsprozesse an US-Unternehmen (und Unternehmen in andere Drittstaaten) ausgelagert haben, zu einer weiteren großen Rechtsunsicherheit geführt. Zwar lässt der EUGH eine entsprechende Angemessenheitsprüfung für den Datentransfer im Einzelfall offen. Doch für viele UnternehmerInnen ist es zu aufwändig eine Due Diligence für die Subauftragnehmer und die Sub-SubauftragnehmerInnen durchzuführen.
Ein Beispiel für die Komplexität der Folgen, die aus diesem Urteil erwachsen, ist der Datentransfer von IP-Adressen (die laut DSGVO als personenbezogene Daten zu bewerten sind) in die USA. Das weltweit am stärksten verbreitete Webseiten-Analyse-Tool Google Analytics wird in fast 90% aller Webseiten eingesetzt, da es umfangreich und vor allem kostenlos ist. Zwar werden die letzten Ziffern der IP-Adresse anonymisiert, so ganz anonym sind die Daten jedoch nicht, wie der Google Transparenzbericht zeigt: gut 100.000 Nutzerkonten und ihre werden auf Basis des FISA an unterschiedliche staatliche Behörden jährlich (2019) offen gelegt.
Alternative zu Google Analytics
Für jene Unternehmen, die beispielsweise für so “einfache” Anwendungen, wie Google Analytics, die sich leicht ersetzen lassen, keine Due Diligence durchführen können und wollen, haben wir deshalb das anonyme, sichere und simple Webseitentracking “Blueberry Phantom” entwickelt. Hierbei werden
- keine personenbezogenen Daten mehr in Drittstaaten transferiert. Es werden auch
- keine Textdateien auf den PCs der Webseiten BesucherInnen, sogenannte Cookies, platziert. Darum braucht man auch für die Nutzung des Webseitentrackings
- keine Einwilligung einzuholen und muss somit keine Vorschaltbanner u.ä. setzen.
Die Daten bleiben bei Ihnen, sind übersichtlich aufbereitet und in einem simplen Live-Dashboard visualisiert. Da Blueberry Phantom keine Cookies setzt, die eine Einwilligung erfordern, werden ALLE WebseitenbesucherInnen erfasst, nicht nur jene, die, wie auf anderen Webseiten, ihre Einwilligung dazu erteilen.
Webseiten-Analyse mit Blueberry Phantom
- Ohne Cookies
- Erfassung aller Nutzer
- Kein Vorschaltbanner notwending & keine Datenübermittlung an Tech-Konzerne
Vorteile für EU-Unternehmen
Damit gewinnen die NutzerInnen von Blueberry Phantom mehrfach: datenschutzfreundliches Webseitentracking, mit exaktem Erfassen der Nutzerzahlen und einem schnellen, userfreundlichen Seitenaufbau ohne Cookie-Notices.
Inkludiert sind:
- übersichtliches Dashboard, das auf einen Blick zeigt, wie die Seite performed
- monatlicher Bericht per E-Mail zugeschickt
- Implementierung des Tracking Codes in die Webseite durch unser Team
- Implementierung von Conversion Zielseiten durch unser Team
- datenschutzfreundliches Tracking ohne Transfer personenbezogener Daten indie USA
- cookiefreie Zone, keine Cookies, keine Vorschaltbanner und Cookie-Notices notwendig
- schnelle Ladezeiten im Vergleich zu Google Analytics
- die Daten gehören Ihnen und nicht Google, Facebook oder Amazon
Wenn Sie ein sicheres, simples und datenschutzfreundliches Tracking für Ihre Webseite suchen, können Sie Blueberry Phantom hier abonnieren.