Der EuGH hat wieder zugeschlagen: Erst im vergangenen Oktober beschloss er die Einwilligungspflicht für alle Cookies, die technisch nicht unbedingt erforderlich sind – woraufhin viele Websitebetreiber teils aufwändige Anpassungen an ihren Internetauftritten vornehmen mussten.

Jetzt, keine 9 Monate später, hat der EuGH das seit 2016 gültige „Privacy Shield“-Abkommen, welches die Übermittlung von Daten aus der EU in die USA regelte, für ungültig erklärt. Wer sich fragt „Was betrifft mich das?“, dem sei gesagt: Möglicherweise eine Menge.

Viele Online-Dienste, darunter auch von Google, stützten sich bisher auf dieses Abkommen. Wer beispielsweise Google Analytics oder Google AdSense auf seiner Website einsetzt, nutzt diese Dienste momentan mehr oder weniger ohne gültige Rechtsgrundlage. Theoretisch gesehen kann dieser Umstand Bußgelder seitens der Datenschutzbehörden nach sich ziehen. Es bleibt abzuwarten, wie kulant diese die Situation handhaben werden.

Das jüngste EuGH-Urteil fiel im Rahmen eines Verfahrens, welches der österreichische Jurist Max Schrems gegen Facebook führt. Vor einigen Jahren wurde durch eines seiner Verfahren bereits das Vorgängerabkommen „Safe Harbor“ gekippt. Hintergrund sind – wie bereits damals – Bedenken, dass in die USA übertragene Daten auch von den dortigen Geheimdiensten genutzt werden könnten.

Eine mögliche Alternativlösung zum gekippten Abkommen stellen die sogenannten „Standardvertragsklauseln“ dar, auf die Facebook sich übrigens bereits stützt. Diese hat das Gericht für gültig erklärt, wenn bestimmte Voraussetzungen gegeben sind. Daher trifft das Urteil den eigentlichen Gegner Schrems, Facebook, eher geringer, während es große Teile der Wirtschaft hingegen mit voller Wucht trifft.

Es ist anzunehmen, dass man sich bei Google und anderen Unternehmen rasch auf eine andere Rechtsgrundlage, wie beispielsweise die besagten Standardvertragsklauseln, stützen wird – denn schließlich möchte man seine Kunden nicht vergraulen. Möglicherweise könnte es auch ausreichend sein, eine Einwilligung des Nutzers einzuholen und darauf hinzuweisen, dass die Datenverarbeitung nicht auf europäischem Schutzniveau erfolgt.

Trotzdem geht es nicht an, dass sich Gewerbetreibende, KMU und große Unternehmen im guten Glauben auf eine Rechtsgrundlage verlassen und diese einfach über Nacht gekippt wird und diese der Gefahr hoher Bußgeldbescheide aussetzt.

Datenschutz ist wichtig, das steht außer Frage. Auch muss miteinander gesprochen werden, wenn mögliche Bedenken vorliegen. Aber der momentan durch die Coronakrise ohnehin gebeutelten Wirtschaft von jetzt auf gleich diese zusätzlichen Schwierigkeiten aufzubürden, ist unsensibel und fast schon absurd. Der EuGH hätte Rücksicht nehmen und eine Frist für eine Neuregelung setzen müssen. Datenschutz ist kein Selbstzweck; Hier wird vielmehr eine transatlantische Politik der Seitenhiebe auf dem Rücken der eigenen Wirtschaft ausgetragen.

Die Entwicklung eines guten Datenschutzkonzeptes kostet Zeit und Geld. Dieses mittlerweile alle paar Monate grundlegend anpassen zu müssen sorgt nicht nur für Kosten und eine erhebliche Planungsunsicherheit; es hält Unternehmen davon ab, sich um ihr hauptsächliches Geschäft kümmern zu können.

Dass die Bundesjustizministerin das Urteil auf der Website des Ministeriums einerseits lobt und ihr Fazit dann mit dem Satz „Das stärkt auch die Digitalwirtschaft in Europa“ abschließt, irritiert. Im Grundsatz ist das, was sie sagt, richtig – zumindest langfristig betrachtet. Nicht richtig ist hingegen, wie bereits erwähnt, dass von heute auf morgen eine wichtige rechtliche Grundlage vernichtet wird, ohne denen, die sich bislang darauf stützten, eine Frist zur Suche nach einer alternativen Lösung zu gewähren – und somit ein rechtssicheres Handeln zu ermöglichen.

Wenn das Internet wirklich so wichtig ist, wie von der Politik immer wieder versichert wird, muss endlich langfristige Rechtssicherheit geschaffen werden – und an diesem Strang müssen alle Beteiligten ziehen, darunter auch die Judikative, im Interesse aller Beteiligten und Betroffenen. Mit Schlagwörtern wie „Industrie 4.0“ und „5G“ und gut gemeinten Beteuerungen allein ist es nicht getan.

Wir werden die Angelegenheit weiterverfolgen und Euch auf dem Laufenden halten.

Bild: Bill Oxford / Unsplash.com

4 KOMMENTARE

  1. Die Lippenbekenntnisse von Politikern nützen tatsächlich nicht viel. Die Leidtragenden sind wieder die Nutzer. Wann hört dieser Mist endlich auf und wann kann man endlich online aktiv sein ohne eine Abmahnung befürchten zu müssen??

  2. Aber mal “Hand aufs Herz”. Durch die ganzen Änderungen in Sachen Datenschutz, haben Online Marketer, die für Kunden arbeiten, gutes Geld verdient.

  3. Bisschen weniger Eifer und bisschen mehr Faktenwissen wäre nützlich.
    Für Webseitenbetreiber, die sich an die DSGVO halten ist es völlig unwichtig, ob die Daten in USA oder in China oder in anderen “vertrauenswürdigen Staaten” gespeichert werden.
    Wer sich seit Mai 2019 nicht an das Verbot hält, IP-Adressen der Nutzer heimlich auf Webserver von Dritten weiterzuleiten hat sich ein Bußgeldverfahren redlich verdient.
    Kein Mensch braucht Google Analytics, das erst die IP-Adresse verbotenerweise speichert um sie danach zu blockieren. Matomo hat im Lieferumfang die Nutzerabfrage ob die Daten gespeichert werden dürfen.
    Mit geeigneten Plugins kann man WordPress daran hindern, heimlich Google Fonts und Emoticons oder Stylesheets im Hintergrund aus USA zu laden.
    Nochmals: Wem der Datenschutz seiner Kunden das bisschen Aufwand seit Mai 2019 nicht wert war, der soll wenigstens nicht wehleidig tun.

  4. Das Privacy Shield-Abkommen ermöglichte bis vor kurzem den legalen Einsatz von Tools wie Google Analytics zusätzlich zu einer Einwilligung des Nutzers. IP-Adressen heimlich weiterzuleiten ist hingegen eine andere Baustelle. Die DSGVO trat übrigens im Mai 2018 in Kraft, nicht erst 2019.

Hinterlasse eine Antwort

Please enter your comment!
Please enter your name here