EuGH: Safe-Harbor-Abkommen unwirksam

Der EuGH hat das Safe-Harbor-Abkommen für unwirksam erklärt. Auch die allgemeinen Medien berichteten. Das Safe-Harbor-Abkommen ist ein rechtliches Konstrukt, um die Übermittlung von personenbezogenen Daten an bestimmte Unternehmen in den USA zulässig zu machen. Denn jede Datenübermittlung in ein Nicht-EU-Land bedarf einer datenschutzrechtlichen Rechtfertigung. Sofern ein Onlineshop-Betreiber daher Dienstleister in den USA einsetzt, sollte die datenschutzrechtskonforme Ausgestaltung überprüft werden. Viele Onlineshop-Betreiber werden z. B. durch die Einbindung von Google Analytics oder den Betrieb einer Facebook Fanpage betroffen sein.

Neben dem Safe-Harbor-Abkommen bestehen insbesondere zwei Möglichkeiten, ohne eine Einwilligung des Betroffenen: Der jeweilige Vertrag mit dem Betroffenen macht inhärent eine Datenübermittlung in die USA erforderlich (z. B. Lieferanschrift in den USA) oder es wird mit dem Dienstleister in den USA ein gesonderter Vertrag abgeschlossen. Dieser Vertrag muss von der EU-Kommission freigegebene Standardvertragsklauseln enthalten. Es bestehen weitere Möglichkeiten, die aber für Onlineshop-Betreiber allgemein nicht zielführend erscheinen.

Hinsichtlich von Google Analytics wird die Auffassung vertreten, dass bei Verwendung der Funktion anonymizeIp keine personenbezogene Daten (sondern nur ein nicht-personenbezogener Teil der IP-Adresse) in die USA übertragen wird und deshalb keine Bedenken bestehen. Dies kann jedoch auch anders beurteilt werden, insbesondere wenn bedacht wird, dass der Inhalt der Funktion anonymizeIp zuvor von Google Inc. geladen wird, Google Inc. also die volle Kontrolle darüber hat, ob anonymisiert wird oder nicht.

Die Datenschutzbehörden haben im Oktober bereits ein rigides Vorgehen sowie Überprüfungen angekündigt und haben auf den einschlägigen Bußgeldtatbestand (bis zu 300.000,00 EUR) hingewiesen.

Stand: 9. Nov. 2015