20
business:zeit
03/2021
Datenschutzbedenken bei Analysetools auf Webseiten Bei Webseiten kommen in der Praxis oft Dienste von US-Unternehmen zum Einsatz. Diese übertragen die Daten von Webseitenbesuchern häufig standardmässig in die USA. Aufgrund der jüngsten Rechtsprechung besteht in dieser Hinsicht dringender Handlungsbedarf. Text: René Saurer, Rechtsanwalt und Partner, unter Mitarbeit von René Felder, Associate Hintergrund Analysetools wie Adobe Analytics oder Google Analytics, Google Maps oder Ads Conversion Tracking sind Online-Dienste, die von Webseitenbetreibern zur Optimierung von Webseiten und zu Marketingzwecken eingesetzt werden. Die Tools erfassen Daten über Webseitenbesucher, zum Beispiel Geräteinformationen, IP-Adressen und Besucheraktivitäten, die vielfach personenbezogene Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) darstellen. Diese Tools werden nicht selten von Unternehmen mit Sitz in den USA bereitgestellt, weshalb oft personenbezogene Daten in die USA übertragen werden. Für den Transfer von personenbezogenen Daten in ein Drittland wie die USA schreibt die DSGVO vor, dass dort die Daten der betroffenen Personen angemessen geschützt sein müssen. Im Falle der USA hatte die EU-Kommission einen Angemessenheitsbeschluss (den «Privacy Shield») erlassen. Darin wurde bestätigt, dass die Vorgaben des Privacy Shield dem Datenschutzniveau in der EU entsprechen. Allerdings war damit nicht jeder Datentransfer in die USA unbedenklich, sondern lediglich der Transfer an US-Unternehmen mit gültiger Privacy ShieldZertifizierung. Bei Vorliegen einer solchen Zertifizierung konnten sich Webseitenbetreiber auf den Privacy Shield als Rechtsgrundlage für die Datenübertragung in die USA berufen, weshalb die Nutzung der Analysetools von US-Unternehmen bisher weitgehend unproblematisch war.
Wegfall der Rechtsgrundlage und deren Alternativen Der Europäische Gerichtshof (EuGH) hat das Privacy Shield in seinem Urteil «Schrems II» nunmehr allerdings für ungültig erklärt. Damit entfällt fortan die am häufigsten verwendete Rechtsgrundlage für die Datenübermittlung in die USA. Zwar bietet die DSGVO selbst Alternativen. Insbesondere besteht die Möglichkeit, Standardvertragsklauseln (SCC) zu verwenden. Dabei handelt es sich um vorformulierte Musterklauseln, die in einen Vertrag zwischen Datenexporteur und -importeur aufzunehmen sind. Allerdings genügt der Abschluss von SCC allein nicht, um den Datentransfer in die USA zu rechtfertigen. Vielmehr muss der Verantwortliche eine Einzelfallanalyse vornehmen, in der er unter Berücksichtigung der Rechtslage und -praxis in den USA festzustellen hat, ob ein angemessenes Schutzniveau gewährleistet ist. Als Anleitung für Verantwortliche wurden vom Europäischen Datenschutzausschuss Empfehlungen publiziert. Dabei ist eine sechsstufige (!) Prüfung vorgesehen. Gelangt der Verantwortliche zum Schluss, dass kein gleichwertiges Schutzniveau vorliegt, dann hat er neben den SCC noch zusätzliche Massnahmen zu ergreifen. Tatsächlich ist es so, dass in den USA derzeit kein gleichwertiges Schutzniveau besteht, was insbesondere am möglichen Zugriff der US - Ü ber wachungsbehörden auf Daten betroffener Personen liegt.
Dringender Handlungsbedarf Den Unternehmen ist daher zunächst dringend zu empfehlen, eine Bestandsaufnahme zu machen, ob Analysetools verwendet werden. Kommt ein solches zum Einsatz, ist weiter festzustellen, ob Daten in die USA übertragen werden und, wenn ja, welche und wohin. Dies sollte in einem Verzeichnis dokumentiert werden. Danach sollte geprüft werden, ob dieses Tool für das Unternehmen tatsächlich einen Mehrwert bringt. Oft sehen wir in der Praxis, dass diese Tools im Hintergrund laufen, ohne dass deren Ergebnisse ausgewertet werden. In einem solchen Fall empfiehlt es sich, das Tool zu deaktivieren. Schliesslich kann der Wechsel zu einem EU-Anbieter erwogen werden. Ergibt die Prüfung aber, dass auf den Einsatz der Tools nicht verzichtet werden kann und dass der Umstieg auf EUAlternativen nicht möglich ist, sind die Vertragsbeziehungen mit den US-Unternehmen zu überprüfen. Die US-Unternehmen selbst bieten oft standardmässig den Abschluss von SCC an. Im Regelfall wird dies aber nicht ausreichen. Es wird vielmehr einer eingehenden Prüfung der Situation bedürfen; zusätzliche Massnahmen werden zu ergreifen sein. Daher sollte jedenfalls ein Datenschutzexperte beigezogen werden.
Fazit Bei der Verwendung von Analysetools von US-Unternehmen ist Vorsicht geboten. Die Übertragung von personenbezogenen Daten in die USA ist nicht mehr ohne Weiteres möglich. Auch
Unternehmen in Liechtenstein, die solche Dienste zur Optimierung von Webseiten und zu Marketingzwecken verwenden, sollten daher genau prüfen, ob sie dadurch nicht Datenschutzrecht verletzen.
MAG. RENÉ SAURER, MES Rechtsanwalt und Partner
Über die Person Mag. René Saurer, MES, ist Partner in der Kanzlei Gasser Partner Rechtsanwälte in Vaduz. Die Schwerpunkte seiner Tätigkeit liegen einerseits im Stiftungsund Trustrecht und andererseits im Datenschutzrecht. René Saurer ist als externer Datenschutzbeauftragter für verschiedene Unternehmen tätig.
Wuhrstrasse 6 9490 Vaduz T +423 236 30 80 office@gasserpartner.com www.gasserpartner.com
