Mit Urteil vom 16.07.2020 (Az: C‑311/18) hat der Europäische Gerichtshof (EuGH) das sog. EU-US Privacy Shield Abkommen, das bislang Rechtsgrundlage für eine Datenübermittlung in die Vereinigten Staaten (USA) bildete, für ungültig erklärt.
Nach der Datenschutzgrundverordnung (DSGVO) dürfen personenbezogene Daten nur dann in ein Drittland übermittelt werden, wenn in dem Empfängerland oder bei dem Empfänger ein ausreichendes Datenschutzniveau gewährleistet wird. Das ist nach Auffassung des EuGH in den USA aufgrund der weitreichenden Zugriffsbefugnisse der US-Sicherheitsbehörden auf elektronisch gespeicherte Daten und fehlenden Rechtsschutzmöglichkeiten nicht der Fall. Insbesondere haben Betroffene keine Möglichkeit gegenüber amerikanischen Behörden aufgrund nachrichtendienstlicher Überwachungsmaßnahmen Rechte gerichtlich geltend zu machen oder durchzusetzen. Die Rechtsschutzmöglichkeiten der Betroffenen sind auf ein Ombudsmann-Verfahren beschränkt, welches den Ombudsmann soweit ersichtlich allerdings nicht ermächtigt, verbindliche Entscheidungen gegenüber Nachrichtendiensten zu treffen und das dem europäischen Verständnis eines unabhängigen Richters nicht entspricht. Zudem ist nach den geltenden amerikanischen Vorschriften die Datenverarbeitung derartiger Überwachungsmaßnahmen nicht auf das zwingend erforderliche Maß beschränkt und genügt daher nicht den nach dem Grundsatz der Verhältnismäßigkeit bestehenden Mindestanforderungen.
Die anderslautende „Angemessenheitsentscheidung“ der EU-Kommission, wonach bei Datentransfers unter dem sog. „Privacy Shield“ ein hinreichendes Datenschutzniveau sichergestellt ist, hat der EuGH daher mit sofortiger Wirkung für ungültig erklärt.
Eine Übermittlung personenbezogener Daten in ein Drittland ist trotz fehlenden Angemessenheitsbeschlusses oder anderer geeigneter Garantien möglich, wenn die betroffene Person gemäß Art. 49 Abs. 1 S. 1 lit. a DSGVO in die Datenübermittlung ausdrücklich eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen unterrichtet wurde. Wir verweisen nochmals ausdrücklich auf die zuvor beschriebenen Rechtsrisiken, insbesondere die Zugriffsmöglichkeiten von US-Behörden auf Ihre Daten sowie fehlende Rechtsschutzmöglichkeiten hiergegen vorzugehen.
Mit Ihrem Einverständnis übermitteln wir personenbezogene Daten an folgende Unternehmen mit Sitz außerhalb der EU/EWR:
Name: Google Tag Manager
Vertragspartner: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Hauptsitz in den USA: Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043
Art der Datenerhebung: Durch den Google Tag Manager Dienst können Webseiten-Tags über eine Oberfläche verwaltet werden. Das Tool „Google Tag Manager“ implementiert lediglich Tags. Hierbei werden keine Cookies eingesetzt und keine personenbezogenen Daten erfasst. Das Tool sorgt für die Auslösung anderer Tags, die ihrerseits unter Umständen Daten erfassen. „Google Tag Manager“ greift nicht auf diese Daten zu.
Zweck der Datenverarbeitung: Funktional
Name: Google Analytics
Hauptsitz in den USA: Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043
Art der Datenerhebung: Google Analytics verwendet Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse darüber ermöglichen, wie Sie die Webseite nutzen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung unserer Webseite werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Sowohl Google als auch staatliche Behörden haben gegebenenfalls Zugriff auf diese Daten.
Zweck der Datenverarbeitung: Statistik