Menü
Startseite

Bild: David Hirjak/AdobeStock

Neue Datenschutzbedingungen: Das ist jetzt bei der Nutzung von Google-Diensten zu beachten

Google und andere US-Dienste berücksichtigen neue EU-Standardvertragsklauseln

Google, Facebook, Amazon und andere US-Onlinedienste aktualisieren Ende September ihre Datenschutzbedingungen. Dabei werden vor allem die ab dem 29. September 2021 erforderlichen neuen EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) einbezogen. Unternehmen, die Produkte von Google oder anderen US-Diensten nutzen, müssen nun darauf achten, die richtigen Standardvertragsklauseln zu verwenden. Zusätzlich sollten sie eine Daten-Transfer-Folgenabschätzung durchführen. Für Dienstleistungen dieser Art kann man sich an externe Datenschutzbeauftragte wenden.

Die Standardvertragsklauseln, kurz SCC, wurden von der EU-Kommission im Juni 2021 herausgegeben und legitimieren den internationalen Datenaustausch personenbezogener Daten im Rahmen der Datenschutzgrundverordnung (DSGVO). Hintergrund ist, dass laut der DSGVO personenbezogene Daten nur dann außerhalb der EU übermittelt werden dürfen, wenn im Zielland ein adäquates Datenschutzniveau besteht. Für die USA gab es mit dem sogenannten Privacy Shield noch bis vor gut einem Jahr ein Abkommen, welches die Übermittlung personenbezogener Daten von der EU in die USA regelte.

Standardvertragsklauseln als Ersatz für den „Privacy Shield“

Allerdings hat der Europäische Gerichtshof (EuGH) den Privacy Shield im Juli 2020 für unwirksam erklärt. Der EuGH entschied, dass die Befugnisse der US-Behörden, die es sogar erlauben, auf personenbezogene Daten der EU-Bürger heimlich und ohne effektive Rechtsbehelfsmöglichkeiten zuzugreifen, gegen ein adäquates Datenschutzniveau in den USA sprechen. Ohne den Privacy Shield bedarf es anderer Mittel, um ein adäquates Datenschutzniveau annehmen zu dürfen. Ein solches Mittel sind die SCCs.

Die neuen SCCs ersetzen die Klauseln, die zuvor von der Europäischen Kommission herausgegeben und von Google als Mustervertragsklauseln angeboten wurden. Sie gelten für alle neuen Kund*innen und Nutzer*innen von Produkten von Google und anderer US-Anbieter. Für alle Kund*innen und Nutzer*innen, die vor dem 27.09.2021 einen Vertrag mit einem US-Dienst abgeschlossen hatten, gelten die Neuerungen spätestens ab 27.10.2021.

Google-Dienste stehen aufgrund ihrer Verbreitung im Fokus

Die Google-Dienste stehen aufgrund ihrer großen Verbreitung im Mittelpunkt der Neuregelung. Zudem hat Google als einer der ersten großen Online-Marketing-Dienstleister auf den Beschluss der EU-Kommission reagiert und seine Datenschutzbestimmungen angepasst. Hierbei unterscheidet Google zwischen Diensten, bei denen Google sich als Auftragsverarbeiter betrachtet, wie bei Google Analytics, Google Tag Manager, Google Cloud Platform und bei Google Workspace, und Diensten, bei denen Google von einer geteilten Verantwortlichkeit zwischen sich und den Kund*innen ausgeht. Beispielhaft dafür sind Google Ads, Google AdMob oder Google Maps APIs.

Die Integration der neuen Standardvertragsklauseln erfolgte in Modulform. Dies soll sicherstellen, dass eine legitime Drittstaatenübermittlung von personenbezogenen Nutzerdaten in jeder Konstellation zwischen Auftragsverarbeiter und verantwortlichem Unternehmen möglich ist.

Daten-Transfer-Folgenabschätzung erforderlich

Nach Ansicht des Datenschutzexperten RA Dr. Thomas Schwenke sind die neuen SCCs vollständig und enthalten Angaben zu der Verarbeitung und den technischen und organisatorischen Maßnahmen. Die neuen Standardvertragsklauseln sichern damit laut Schwenke das Datenschutzniveau besser ab als die bisherigen Versionen. Allerdings seien die SCCs nicht ausreichend. Er empfiehlt deshalb, zusätzlich eine Daten-Transfer-Folgenabschätzung durchzuführen.

Damit ist gemeint, dass Unternehmen überprüfen, ob die im Vertragstext enthaltene Zusage, das adäquate Datenschutzniveau einzuhalten, auch tatsächlich erfüllt wird. Unternehmen sollten also überprüfen, ob das vom EuGH beschriebene Risiko des Zugriffes auf Daten durch US-Behörden verhindert wird. Umfang und Tiefe der Prüfung hängen dabei vom verwendeten Dienst, der Art und Umfang seiner Verwendung sowie auch von den konkreten Risiken ab.

So bleiben Unternehmen auf der rechtlich sicheren Seite

Zusammenfassend empfiehlt Schwenke vier Maßnahmen, die Unternehmen jetzt ergreifen sollten, um auf der rechtlich sicheren Seite zu sein:

  • Abruf der neuen Standardvertragsklauseln: Falls nicht online verfügbar, sollten Unternehmen eine Anfrage an die jeweiligen Anbieter stellen.
  • Prüfung des Vertragstextes: Unternehmen sollten prüfen, ob die für die jeweilige Vertragskonstellation richtigen Standardvertragsklauseln gewählt und inhaltlich nicht verändert wurden und ob die Anhänge ordnungsgemäß ausgefüllt sind.
  • Prüfung des tatsächlichen Datenschutzniveaus durch eine Daten-Transfer-Folgenabschätzung.
  • Prüfung einer Alternative: Unternehmen sollten außerdem begründen, warum sie keinen europäischen Dienst oder einen datenschutzfreundlicheren Dienst verwenden können.

Der Datenschutzexperte geht davon aus, dass die Aufsichtsbehörden wohl keine strikten Verbote oder Bußgelder verhängen werden, wenn Unternehmen diese Prüfungen nicht oder unzureichend vornehmen. Anders kann es jedoch aussehen, wenn zumutbare Maßnahmen nicht ergriffen wurden. Dazu gehören maßgeblich die Anfrage der Standardvertragsklauseln und eine Daten-Transfer-Folgenabschätzung.

« zurück