Google steigt auf Standardvertragsklauseln (SCCs) für die Übermittlung von Online-Werbung und die Messung personenbezogener Daten aus dem Wirtschaftsraum Europa um.
Einige von euch haben sicher diese Mail von Google bekommen ...
Zitat:
Important updates about GDPR compliance
Dear Partner,
As a result of the recent Court of Justice of the European Union ruling on data transfers, invalidating the Privacy Shield, Google will be moving to Standard Contractual Clauses (SCCs) for transfers of online advertising and measurement personal data out of the Europe Economic Area, Switzerland and the UK.
We are making these updates solely to address GDPR compliance. The updates do not give Google additional rights over data. If the Google Ads Data Processing Terms or Google Ads Controller-Controller Data Protection Terms are already part of your contract (or if you have separately accepted the Google Measurement Controller-Controller Data Protection Terms where available), the updates will apply from August 12, 2020.
Wie einige Sicher mitbekommen haben gibt es nun ein EuGH-Urteil, das C-311/18 ("Schrems II"), welches die Übermittlung von Daten in die USA stoppen soll.
Google beugt sich nun diesem Urteil und unternimmt gerade die nötigen Schritte und stellt alle AGBs und Bedingungen usw. um. Das ganze soll dann am 12 August in Kraft treten.
Welche Daten betrifft dies?
Wenn man den Dienst EU/EWR-Unternehmens nutzt, bzw. man Kunde eines solchen ist ...
eine integrierte Tochtergesellschaft eines US-Unternehmens ist (z.B. Google, Apple, Amazon, Microsoft, Facebook, Instagram, Twitter, Yahoo und ähnliche) oder
die Verarbeitung deiner Daten an ein US-Unternehmen ausgelagert hat (viele "durchschnittliche" EU-Unternehmen).
Welche Daten dürfen ab nun nur mehr in den USA gespeichert werden?
Hier ein paar Beispiele:
Eine Hotelbuchung direkt in den USA oder über ein Reisebüro in der EU (z.B. ein Zimmer in San Francisco);
Buchen eines Fluges in die USA;
Reservierung für einen Mietwagen in den USA;
Online-Bestellung von Waren bei einem in den USA ansässigen Unternehmen;
Nutzung von Online-Diensten, die von einem in den USA ansässigen Unternehmen (ohne Niederlassung in der EU) angeboten werden;
Senden einer E-Mail an einen Empfänger in den USA;
Das Senden deiner Daten an einen Anwalt in den USA im Rahmen eines Gerichtsverfahrens;
Kontaktaufnahme mit einem Facebook-Freund, der sich in den USA befindet;
Videoanrufe in die USA.
Also die Daten, die eben ohne EU Bezug sowieso in den USA gespeichert werden müssen, weil es nicht anderes geht. Oder auch Daten bei denen es sich nicht um personenbezogene Daten handelt.
Man muss also genau unterscheiden, ob Daten "Auslagert" werden, oder ob es eine absolut "notwendigen" Datenübermittlungen in die USA" ist. Wie eben das Beispiel mit der Mail in die USA.
Ein Auslagern bedeutet, dass personenbezogene Daten in den USA gespeichert werden. Dies geschieht aber eben nur, weil es einfacher, billiger oder praktischer ist, sie bei einem US-Dienstleister zu speichern als in Europa, auch wenn die Daten technisch gesehen innerhalb der EU/des EWR gespeichert werden könnten. Es gibt keine generelle "Ausnahmeregelung" gemäß Artikel 49 DSGVO für die Übermittlung von Daten in die USA.
Kann ich als EU/EWR-Verbraucher weiterhin direkt Dienstleistungen in den USA (oder anderen Drittländern) in Anspruch nehmen?
Es den Benutzern frei, wissentlich die eigenen personenbezogenen Daten direkt in ein Drittland zu senden, zum Beispiel bei der Nutzung einer chinesischen Website.
Es ist aber nicht möglich, Daten anderer Personen (z.B. Freunde, Kollegen) direkt mit einem US-Anbieter zu teilen, es sei denn, man hat hierfür deren freiwillige, spezifische, informierte und eindeutige Einwilligung eingeholt. Gutes Beispiel ist hier ein Messenger wie WhatsApp, weil jeder der ihn verwendet auch weiß das die Daten verarbeitet werden.
Kann ich als EU/EWR-Verbraucher weiterhin indirekt (über eine EU-Niederlassung) Dienstleistungen aus den USA (oder einem anderen Drittland) in Anspruch nehmen?
In den meisten Fällen hast du als EU/EWR-Nutzer einen Vertrag mit einer EU-Tochtergesellschaft eines US-Unternehmens. Beispiele hierfür sind Google Irland, Facebook Irland, Microsoft Luxemburg oder Amazon Luxemburg.
In diesen Fällen muss die EU-Unternehmen sicherstellen, dass "konzerninterne" Ströme personenbezogener Daten in die USA DSGVO-konform sind. Unternehmen müssen solche Datenübermittlungen nun genau unter die Lupe nehmen und prüfen, ob sie die Daten in Europa oder in einem anderen Land, das einen besseren Schutz der Privatsphäre bietet, hosten müssen, anstatt sie in die USA an ein Unternehmen zu übermitteln, das unter US-Überwachung steht.
Können EU/EWR-Unternehmen weiterhin "notwendige" Datenübermittlungen personenbezogener Daten in die USA durchführen?
Ja!
Artikel 49 DSGVO enthält eine Liste von "Ausnahmeregelungen", die solche Datenübermittlungen erlauben. Dazu gehören in der Regel, wie oben erwähnt, Bestellungen von Unternehmen in den USA, Buchungen bei US-Hotels, das Versenden von E-Mails in die USA und generell alle Dienstleistungen, die logischerweise eine EU-US-Datenübermittlung erfordern. Solche Übermittlungen sind nicht Gegenstand des Falles und werden von dem Urteil nicht berührt.
Können EU/EWR-Unternehmen weiterhin die Verarbeitung personenbezogener Daten in andere Länder als die USA auslagern?
Ja, wenn es in diesem Land keine dem entgegenstehenden Gesetze gibt. Der Fall ändert aber nicht die DSGVO-Regeln für Datenübermittlungen.
Dieser ganze Text hier soll als Infos und Zusammenfassung gelten und stellt dadurch keine Rechtsauskunft dar! Für Rechtliche Auskünfte zu DSGVO und anderen Gesetzen kontaktier einen Rechtsexperten, oder besuch am besten die oben genannte Homepage.
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar abgestimmt...