Schrems II - und jetzt?

Zur Abwechslung mal wieder ein Stück ernsthafte Datenschutz-Unterhaltung: Schrems II. Weil etliche Kunden gefragt haben, was das eigentlich jetzt für Auswirkungen habe. Wars das mit Facebook-Marketing oder Google Analytics? ... Freut euch mal nicht zu früh, ihr SM-Hasser. Konkrete Hinweise nach der ausführlichen Einleitung.

Wieso trägt das Urteil den Beinamen Schrems II?

Maximilian Schrems ist ein bekannter Jurist und Datenschutz-Verfechter, der einen wesentlichen Beitrag dazu geleistet hat, dass die USA nicht mehr als Land angesehen wird, in dem personenbezogene Daten von EU-Bürgern ein angemessenes Schutzniveau genießen. Gern mal bei Wikipedia vorbei surfen und nachlesen, was der Max so getrieben hat bisher. Ich mag ihn.

Zwei Schremsen gab es schon:

  1. Das Urteil Schrems I, gesprochen in 2015. Ein Resultat war das Ende des Safe-Harbor-Abkommens.
  2. Das Urteil Schrems II, gesprochen im Juli 2020, hat das Ende des Privacy Shield als wesentliches Ergebnis.

DSGVO vs. USA

Laut DSGVO darf man anstandslos personenbezogene Daten quer durch die EU schicken, weil seitens des EuGH davon ausgangen wird, dass in den Mitgliedsländern der EU das gleiche, grundlegende Datenschutzniveau gewährleistet ist und die Rechte der Betroffenen (deren Daten rumgeschickt werden) auch durchgesetzt werden können.

Man darf Daten auch in Länder außerhalb der EU schicken, sofern sichergestellt ist, dass im Empfängerland die Rechte der Betroffenen genauso durchgesetzt werden können wie in der EU.

Diese Möglichkeit ist im Falle der Vereinigten Staaten von Amerika nicht gegeben und war sie auch noch nie. Die Amis scheren sich nicht um die Gesetzgebung anderer Länder und stellen ihre eigenen Interessen stets voran. Sowohl Safe Harbor als auch Privacy Shield sollten diesen Egoismus etwas zurechtstutzen. Taten sie aber beide nicht - diese Abkommen waren so albern löchrig und einseitig die USA bevorteilend, dass ich als Bürger der EU schon peinlich berührt war ob der Durchsetzungsunfähigkeit unserer devoten Verhandlungspartner aus der EU.

Einer der Kernkritikpunkte war und bleibt die völlig hemmungslose Überwachung des Datenverkehrs durch die Geheimdienste in den USA, der auch EU-Bürger zum Opfer fielen, immer noch fallen und auch weiterhin fallen werden. Dieser Datenlutscherei könnte man wahrscheinlich nur durch das Kappen sämtlicher Datenverbindungen nach den USA beikommen. Das hätte für viele Leute eher unangenehme Auswirkungen. Lassen wir daher das Thema Geheimdienste mal beiseite.

Beispiel Google Analytics

Es sei als Beispiel Google Analytics gewählt. Wers nicht kennt: Ein Analysewerkzeug, mit dem u.a. Herkunft, technische Ausstattung, und Surfverhalten von Nutzern aufgezeichnet werden. Man kann sich sicher sein, dass personenbezogene Daten, die von Google beim Einsatz dieses Tools erhoben werden, nicht in der EU bleiben, sondern in die USA flitzen. Wer Google Analytics einsetzt, muss mit Google (genauer, der irischen Dependance) einen Auftragsverarbeitungsvertrag abschließen, der den Anforderungen der DSGVO genügt. In dem ist geregelt, welche Daten zu welchen Zwecken erhoben werden, außerdem wo und wie lange Google sie speichert.

Wie oben schon geschrieben, darf man personenbezogene Daten unter bestimmten Voraussetzungen und nach eingehender Prüfung der rechtlichen Rahmenbedingungen auch in Länder jenseits der EU-Grenzen schicken. Diese Prüfungen wären eigentlich aufwändig und möglicherweise auch kostspielig (anwaltliche Beratung ist da schon angebracht, sowohl daheim als auch in der Ferne). Der Privacy Shield hatte den Vorteil, dass er diese aufwändigen Prüfungen unnötig machte - es wurde ein angemessenes Datenschutzniveau seitens der EU einfach angenommen.

Nun, da der Privacy Shield nicht mehr gültig ist, wären theoretisch wieder die aufwändigen Prüfungen nötig. Für Google, Facebook, Apple und all die anderen Datenkraken aus den USA wäre das natürlich ein Drama, denn dann könnten sie die ganzen Personendaten nicht mehr einfach in die USA durchschleifen und damit Geld verdienen.

Nicht doch noch ein Schlupfloch übrig? Es gäbe noch theoretisch die explizite, informierte und dokumentierte Zustimmung der Website-Nutzer: "Ja, ich bin damit einverstanden, dass meine personenbezogenen Daten nicht nur innerhalb der EU herumgereicht werden, sondern auch nach USA, China, Indien und in andere Länder fließen, die sich um meine in der EU geltenden Rechte nicht so sehr scheren." Aber wenn man eine solche Einverständnisabfrage halbwegs gesetzeskonform umsetzt, inklusive einer klaren Beschreibung möglicher Risiken, dürfte ein nahezu überwältigender Anteil der Nutzer kein Einverständnis geben.

Die User kriegen ja schon die Krise, wenn sie (sofern unbeeinflusst von irgendwelchen Dark Patterns) Cookie-Banner sehen ... *klicklick* ablehnen, AB-LEH-NEN!

Uff... klingt alles nicht so toll für den Marketing-Guru, der ohne Analytics, Facebook und Twitter nicht mal den Lokus heimsuchen kann.

Ein letztes, schmollmundiges Aber! Es gibt ja immer noch die Standardvertragsklauseln. Die gibt es eigentlich schon lang, aber erst jetzt rücken sie mal wieder so richtig in den Fokus. Die sind nicht ganz unkompliziert in der Handhabung, wie z.B. das LDI NRW beschreibt. Und sie verlagern die Verantwortung bezüglich Datenschutz auf den Auftragsverarbeiter. Will heißen: Ein Unternehmen in China müsste verbindlich, schriftlich, vertraglich zusichern, sich an EU-Datenschutzstandards zu halten, wenn es personenbezogene Daten aus der EU verarbeiten soll. Was angesichts des chinesischen Überwachungsapparats ab OSI-Schicht 1 nahezu unerfüllbar sein dürfte. Aber ich kann mir beim besten Willen nicht vorstellen, dass mindestens die amerikanischen Big Four (Apple, Google, Facebook und Microsoft) nicht schon längst etliche Millionen Dollar Hirnschmalz eintopfen, um entsprechende Klauseln und Zusicherungen zurechtzulügen. Die Chinesen halte ich da für gleichgültiger, weil die weit weniger abhängig sind von Daten aus dem EU-Internet als die Amis.

Kurzfristig jedoch erscheint es sinnvoll, auch wenn man Gefahr läuft, im Tränenmeer der Marketingabteilung zu ersaufen, den Einsatz von DSGVO-konformen Plattformen zu empfehlen.

Analytics kann man zum Beispiel durch Matomo ersetzen. Und wenn man willig ist, gewisse Einschränkungen bezüglich längerfristigem Kampagnentracking hinzunehmen, ist sogar die Nutzung von Matomo OHNE COOKIES möglich. Kein Cookie Banner mehr!!11^

(Aber ein Consent-Banner sollte schon noch sein, gell? Weil Tracking-Einverständnis und so. Tracking geht nämlich auch ohne Cookies, und wie! Und kommt mir bloß nicht mit berechtigtem Interesse oder sowas.)

Nötiger Hinweis: Ich bin im Übrigen kein Rechtsanwalt und meine Einschätzung kann auch kompletter Unfug sein.