Knowledge Hub

FAQ zum Webinar: EuGH kippt Privacy Shield, und jetzt? Was jetzt noch erlaubt ist

Knowledge Hub Knowledge FAQ zum Webinar: EuGH kippt Privacy Shield, und jetzt? Was jetzt noch erlaubt ist

Inhaltsverzeichnis

Fragen und Antworten aus unserem Webinar mit unserem Partner, one medialis GmbH, sowie Dr. Christian Velten (Jota Rechtsanwälte Schultze-Rhonhof).


Wie bzw. wann soll die Einwilligung der User bei Google Ads-Anzeigen eingeholt werden? Genügt ein Passus dazu in der Datenschutzerklärung?

Wenn Sie nur Google Ads schalten, betrifft dies erst einmal nicht Ihre eigene Website, sondern Google. Sie müssen allerdings Consent einholen, wenn Sie auf Ihrer Website, z.B. über die Integration des Google Ads Tracking Codes (oder ähnliche wie Remarketing etc.), den Erfolg Ihrer Google Ads Kampagne messen möchten. Wenn Sie selbst als Teil des Display-Netzwerkes Anzeigen von Google auf Ihrer Website darstellen möchten, benötigen Sie hierfür ebenfalls Consent.

Wie ist Cross-Domain-Tracking rechtlich zu bewerten? Ist Tracking möglich, wenn dies für den Websseiten-Besucher im Rahmen der Consent-Einholung transparent ist oder muss hierfür die ausdrückliche Einwilligung eingeholt werden?

Nur, solange erkennbar ist, dass die Datenverarbeitung für ein und denselben Verantwortlichen erfolgt. Ein Beispiel: Ein Unternehmen betreibt einen Shop und eine Website im gleichen oder ähnlichen Layout und hosted dies nur aus technischen Gründen über unterschiedliche Domains.

Ist es erlaubt, Google Ads und Facebook Ads jeweils ohne eigenes Pixel zu nutzen?

Im Falle, dass Sie nur Anzeigen auf den entsprechenden Plattformen schalten, betrifft dies ja nicht Ihre Webseite. Den Consent auf Ihrer Website benötigen Sie immer dann, wenn Sie Cookies oder Codes anderer Plattformen auf Ihrer Website einbinden.

Wenn eine Webseite mit Hilfe eines CMS betrieben wird und auf dieser Seite viele Hacker-Angriffe auftreten, ist dann der Einsatz eines US-basierten Schutzmechanismus (wie z.B. Wordfence):


a) auch ohne Nutzer-Einwilligung im Sinne des berechtigten Interesses nutzbar oder
b) ist der US-Schutzmechanismus nur mit Einwilligung (auf die Gefahr erfolgreicher Hacker-Angriffe und damit der Einstellung des Dienstes meinerseits) einsetzbar?

 a) Hier kommt es darauf an, ob es auch Alternativen zum US-Dienst gibt, die man rechtlich als zumutbar und datenschutzfreundlicher betrachten könnte und darauf, ob hier neben der IP-Adresse des Requests noch andere Daten verarbeitet werden. Diese Prüfung muss im Rahmen der Interessenabwägung beim „berechtigten Interesse“ dokumentiert werden. Man könnte dies als eine Art europäischen Protektionismus bezeichnen, da europäische Anbieter durch die derzeitige Rechtsunsicherheit einen Wettbewerbsvorteil genießen. Wenn die USA allerdings die Anforderungen der DSGVO erfüllt und es ein neues Abkommen gibt, dann gilt das Gleiche wie für europäische Dienste. Wenn Sie die Bedrohung durch Hacker glaubwürdig nachweisen können, sollten Sie eine solchen Dienst als essentiell ohne explizite Einwilligung nutzen können.
b) auch hier „vermutlich ja“, da es nach unserem Kenntnisstand zu a) noch keine Urteile gibt.

Erscheint die Formulierung bzgl. der Drittstaaten automatisiert in den Consents bei Usercentrics?

Dies ist bisher nicht geplant. Aktuell können wir nur annehmen, dass ein solcher zusätzlicher Hinweis im Falle einer Abmahnung/Beschwerde hilfreich sein könnte. Es gibt dazu leider bisher weder Richtlinien oder Vorschläge der Datenschutzstellen noch Urteile.

Hinterlegen US-Unternehmen die Standardvertragsklauseln selbst in ihren Nutzungs- und Datenschutzbestimmungen?

In der Regel nehmen die Unternehmen nur Bezug auf die SCCs in den entsprechenden Verträgen/Hinweisen.

Wer entscheidet, welche Dienste für die Funktionalität der Webseite als „wesentlich“ gelten?

Rechtlich entscheidet das ein Gericht. Für die Einstufung im Consent Management-Tool entscheiden wir dies in der Regel gemeinsam mit dem Datenschutzbeauftragten im Audit vor der Implementierung. Was essentiell sein darf, sind technisch notwendige eigene Cookies (also lokal vom eigenen Server) sowie UserCentrics (deutsches Unternehmen und man schließt einen AV-Vertrag), um Einwilligungen einzuholen. Beim Google Tag Manager scheiden sich die Ansichten der Rechtsberater. Grundsätzlich ist der Tag Manager nicht für den Austausch personenbezogener Daten vorgesehen und er ist ein notwendiges Tool, um die Consents zu steuern. Aber: Die Seite fordert die Skripte von Google an, wobei die IP-Adresse des Anfragenden übertragen wird.

 

Muss beim Einsatz von Google reCAPTCHA ein Consent Tool verwendet werden? Wenn ein Consent Tool für reCAPTCHA im Einsatz ist, kann ja ohne Zustimmung z.B. ein Formular nicht versendet werden.

Da reCaptcha Daten mit Google tauscht und ein Besucher von Google auch wiedererkannt wird, sollte Consent eingeholt werden. Grundsätzlich könnte ein solches Tool auch als essenziell angesehen werden, weil es technisch notwendig ist. Aufgrund der Tatsache, dass Google Nutzerdaten speichert und zudem in den USA sitzt, könnte dies aber problematisch sein. Eine Alternative wäre es, das Absenden des Formulars nur zu erlauben, wenn der Consent besteht, das ist allerdings nicht besonders nutzerfreundlich. Man kann natürlich argumentieren, dass User so erkennen, warum man bestimmte Consents einfach benötigt. Eine weitere Alternative wäre eine lokale Integration eines Spamschutzes oder ein alternativer externer Dienst.

Ist bereits bekannt, wann seitens des Gesetzgebers mit Änderungen Richtung TTDSG zu rechnen ist?

Da reCaptcha Daten mit Google tauscht und ein Besucher von Google auch wiedererkannt wird, sollte ein Consent eingeholt Wann genau noch nicht. Der Referentenentwurf befinden sich wohl noch in der Abstimmung. Es bleibt abzuwarten, wann und in welcher Form er kommt. Inhaltlich dürften sich eher wenig Unterschiede zur aktuellen Rechtslage ergeben, da der Gesetzesentwurf im Wesentlichen die europäischen Vorgaben wiedergibt.

Speichert Google die Daten von europäischen Nutzern auf seinen Servern in Europa? Findet also immer ein Transfer in die USA statt (Analytics, Google Ads)?

Diese Frage können wir nicht mit Sicherheit beantworten. Vermutlich nutzt Google für viele Dienste gemischte Serverstandorte, was in Cloud-Infrastrukturen üblich ist.

Wie „verträgt“ sich die Einbindung des Google Tag Managers mit dem Wegfall des Privacy Shields?

Da scheiden sich die rechtlichen Einschätzungen derzeit. Man kann argumentieren, dass der Google Tag Manager wegen der Steuerung der Consents selbst technisch notwendig ist und ja auch keine Daten verarbeitet werden. Allerdings wird zum Abruf des Scripts beim Anfordern der Seite die IP-Adresse an Google übertragen, die ein personenbezogenes Datum darstellt und von Google auch genutzt werden kann. Da es hierzu noch keine Richtlinien oder Empfehlungen der Datenschutzstellen gibt und auch keine Urteile, kann man diese Frage nicht sicher beantworten. Es kommt folglich auf Ihre eigene Risikobewertung an.

Ist folgender Hinweis von Usercentrics datenschutzrechtlich in Ordnung?:

„Dieser Service kann die erfassten Daten an ein anderes Land weiterleiten. Bitte beachten Sie, dass dieser Service Daten außerhalb der Europäischen Union und des europäischen Wirtschaftsraums und in ein Land, welches kein angemessenes Datenschutzniveau bietet, übertragen kann. Falls die Daten in die USA übertragen werden, besteht das Risiko, dass Ihre Daten von US Behörden zu Kontroll- und Überwachungszwecken verarbeitet werden können, ohne dass Ihnen möglicherweise Rechtsbehelfsmöglichkeiten zustehen. Nachfolgend finden Sie eine Liste der Länder, in die die Daten übertragen werden. Dies kann für verschiedene Zwecke der Fall sein, z. B. zum Speichern oder Verarbeiten.“

Wie im Webinar erwähnt, wäre dies eine Möglichkeit der zusätzlichen Absicherung, statt nur auf die SCCs zu vertrauen. Sie müssen aktuell selbst entscheiden, wie Sie einen solchen Hinweis formulieren.

Muss der Verantwortliche die Standarddatenschutzklauseln mit den Unterauftragnehmer von Auftragsverarbeiter abschließen, oder reicht es, wenn der Auftragsverarbeitern selbst im eigenen Namen die Standarddatenschutzklauseln mit seinem Unterauftragnehmer abschließt?

Grundsätzlich ja, da ich selbst Verantwortlicher bleibe. Die Vertretungsbefugnis kann aber auf den Auftragsverarbeiter übertragen werden.

Kommt das TTDSG oder eher nicht?

Solange die ePrivacy-Verordnung auf EU-Ebene nicht voran kommt, gehe ich davon aus, dass das TTDSG kommt. Die Frage bleibt nur, wann. Der Entwurf befindet sich noch in der Abstimmung.

 

Finden Sie das aufgezeichnete Webinar zum Thema

„EuGH kippt Privacy Shield, und jetzt? – Was jetzt noch erlaubt ist“ zum download hier:

 

Sie wollen mehr erfahren? Kontaktieren Sie uns gerne jederzeit.