Nun ist es also soweit. Am 6. Oktober 2015 hat der EuGH, im Zuge einer Klage von Max Schrems festgestellt, dass der Transfer von personenbezogenen Daten nur in die Länder der EU bzw. in Länder mit hinreichendem Datenschutzniveau erlaubt ist. Die USA beispielsweise gehören nicht dazu.
Was bedeutet das nun für die Nutzer von Google Analytics, Facebook und Co.?
Wenn diese Anbieter bis dato im Kleingedruckten auf das Safe-Harbor-Abkommen hinweisen konnten, ist dies jetzt nicht mehr erlaubt. Rechtlich einwandfrei handelt also nur noch der, welcher:
- die Genehmigung seiner Kunden für die Erhebung und Verarbeitung der Daten besitzt bzw. sichtbar darüber informiert (z.B. in einer Datenschutzerklärung),
- mit dem Dienstleister, z.B. Google, einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen hat und
- die Daten in der EU oder einem Land mit hinreichendem Datenschutzniveau (z.B. Australien, Israel, Kanada, Neuseeland, Schweiz) verarbeitet.
Wie nun weiter mit der Verarbeitung von Daten die innerhalb der EU erhoben werden?
Eine persönliche Einwilligung aller Nutzer einzuholen dürfte schwierig bis unmöglich sein. Auch er bisheriger Transport der Daten in die USA ist jetzt nicht mehr rechtskonform. Die betroffenen Nutzer haben die Möglichkeit, sich an nationale Gerichte zu wenden und der Datenverarbeitung zu widersprechen.
Aber auch Google, Facebook, Dropbox und andere amerikanische Firmen werden aktiv. Einfachster Weg scheint zunächst einen innereuropäischen Standort aufzubauen. Google tut dies in Belgien, Irland und Finnland. Apple siedelt sich in Dänemark und Irland an. Insgesamt ist das schon ein beachtenswertes Ergebnis. Internet Riesen werden gezwungen den bisherigen Weg aufzugeben und sich einer staatlichen Kontrolle in Europa zu unterwerfen. Sicher hat auch die aktuelle Diskussion um den NSA Skandal dazu wesentlich beigetragen.
Wenn Sie als Nutzer von Google Analytics unsicher sind, finden Sie zahlreiche Informationen im Internet oder Sie wenden sich an ein professionelles Beratungsunternehmen wie beispielsweise die e-dynamics GmbH.
Update: die Datenschutzbeauftragten von Bund und Ländern haben in einer Sondersitzung der Datenschutzkonferenz die „Safe Harbor“-Erklärung als Rechtsrahmen für die Übermittlung personenbezogener Daten in die USA als unzulässig erklärt. Bis Ende Januar 2016 wird nun geprüft, inwieweit auch andere Rechtsklauseln für Datentransfers von dem Urteilsspruch betroffen sind. Hamburgs Datenschutzbeauftragter Johannes Caspar: „Ich rate allen betroffenen Unternehmen, künftig ihre Daten in Europa zu speichern.“.