Folgen des Schrems II-Urteils für Webseitenbetreiber

Letzte Änderung am 18. Dezember 2020 von Benjamin Kunzmann

Aufgrund des sog. Schrems II-Urteils vom 16.07.2020 (Az: C-311/18), mit dem der Europäische Gerichtshof das EU-US-Privacy-Shield- Abkommen für unwirksam erklärt hat, stellt sich die Frage, ob Webseitenbetreiber zukünftig auf die Verwendung von Produkten von US-Unternehmen wie Google Analytics oder WebFonts verzichten müssen.

Mit der Schrems II- Entscheidung hat der EuGH Datentransfers in die USA generell einen klaren Riegel vorgeschoben. Da es sich bei den USA datenschutzrechtlich um ein sog. Drittland handelt, ist ein Datentransfer nur dann zulässig, wenn das besagte Drittland ein angemessenes Datenschutzniveau bietet oder der Betroffene, dessen Daten transferiert werden sollen, eingewilligt hat. Dieses kann entweder durch einen sog. Angemessenheitsbeschluss der EU-Kommission festgestellt werden, oder vertraglich garantiert werden. Letzteres setzt aufgrund des jüngsten EuGH-Urteils neben dem Abschluss der EU-Standardvertragsklauseln auch voraus, dass das hierin garantierte Datenschutzniveau in dem betroffenen Drittland auch tatsächlich eingehalten werden kann, was im Einzelfall zu beurteilen ist.

Nun war es bis zu eben jedem Urteil des EuGH so, dass die EU-Kommission per Angemessenheitsbeschluss festgestellt hatte, dass in den USA ein angemessenes Datenschutzniveau vorlag, wenn das sog. Privacy Shield-Abkommen eingehalten worden ist. Diesen Angemessenheitsbeschluss erklärte der EuGH nun für unwirksam. Als Begründung führte das Gericht an, dass US-Behörden z. B. nach Section 702 des Foreign Intelligence Surveillance Acts (FISA 702) auch ohne einen gerichtlichen Beschluss und Rechtsschutz auf personenbezogene Daten von EU-Bürgern, die auf Servern von US-Unternehmen gespeichert sind, zugreifen können. Durch diese Zugriffsbefugnisse sei in den USA kein angemessenes Datenschutzniveau gewährleistet. Die verbleibende Möglichkeit des Abschlusses der EU-Standardvertragsklauseln wird ebenfalls durch eben jene Befugnisse der US-Behörden torpediert. Denn aufgrund dieser Befugnisse ist die Einhaltung des in den EU-Standardvertragsklauseln vereinbarten Datenschutzniveaus gar nicht möglich.

Als einzig verbleibende Möglichkeit für eine rechtskonforme Nutzung von Google Analytics bliebe somit die Einholung einer entsprechenden Einwilligung der Nutzer, welche in diesem Zusammenhang umfassend über den Datentransfer in die USA und die damit verbundenen Risiken aufgeklärt werden müssten. Hierbei ist jedoch der restriktive Charakter der Einwilligung in derartige Datenübermittlungen zu beachten, wodurch eine standardmäßige Einholung einer solchen Einwilligung ausscheidet.

Derzeit besteht vor diesem Hintergrund keine Möglichkeit, auf Ihrer Webseite Tools von US-Unternehmen rechtskonform einzusetzen. Die Folgen des Schrems II-Urteils für Webseitenbetreiber sind somit gravierend. Aus diesem Grund sollten diese auf Alternativprodukte umsteigen, bei denen keine Daten in die USA transferiert werden. Dies wäre im Fall von Google Analytics beispielsweise Matomo (ehemals Piwik). Bei WebFonts könnte auf andere Schriften zurückgegriffen werden, die auf den eigenen Servern hochgeladen werden kann.

Weiterer interessanter Artikel: Die rechtskonforme Nutzung von Matomo

Scroll Up