Michael Mayr: Hallo und herzlich willkommen Michael Mayr hier vom Abmahnairbag und Kollege auch von vielen von euch über Klick-Tipp und der Klick-Tipp Family. Ich freue mich, dass wir heute Dr. Stefan Gärtner hier mit im Call haben können. Denn er ist ja jemand, der zwar nicht mit der Muttermilch, das wissen wir, weil die Eltern Lehrer waren, aber doch nach seinem Studium, sozusagen von Anfang an sich mit dem Thema Datenschutz auseinandergesetzt hat und immer jemand ist, der nach den Wegen sucht, die uns das Recht irgendwie bietet, auch wenn man sie nicht gleich sieht. So formuliere ich das mal Stefan.
Urteil des EuGH zum Privacy Shield
Ja, das Urteil vor ein paar Wochen des EuGH zum Privacy Shield hat einiges im Bereich Datenschutz erst mal übern Haufen geworfen, so ganz salopp gesagt und ganz, ganz viele haben sich natürlich jetzt mit Fragen überall hin geäußert. Deswegen freue ich mich heute Stefan, dass du gerade aus dem Urlaub zurück und schon bei uns hier im Zoom-Call, dass du uns mal vieles erklärst, vielleicht auch verständlich machst, Hintergründe und dann wollen wir in die FAQ natürlich reingehen und sagen oder die Antworten geben, die viele ganz individuell haben. Soweit man sie auch heute machen kann. An dieser Stelle würde ich sagen übergebe ich an dich und dann freue ich mich auf deine Ausführungen
Dr. Stephan Gärtner: Vielen Dank Michael und hallo an die Marketing-Community. Also ihr alle seid ja längst vertraut mit Begriffen wie Angemessenheitsbeschluss, Privacy Shield, Binding Corporate Rules, Standardvertragsklauseln, Standardvertragsklauseln-Paket eins und zwei. Das brauche ich euch gar nicht mehr erklären. Ich tue es aber trotzdem, denn all das sind Begriffe, die in den nächsten sagen wir mal 45-50 Minuten häufiger fallen werden und deshalb nur für die ganz Wenigen unter euch, die nicht ganz trennscharf definieren können, worüber ich da spreche, möchte ich eine kleine Begriffskunde an den Anfang stellen und dann bin ich auch bereit auf eure Fragen zu antworten. Bei diesem EuGH Urteil, geht es im Prinzip um eine ganz, ganz simple Frage. Wann kann ich Daten verarbeiten und zwar in dem Zusammenhang, dass die Daten auch zu mindestens teilweise in den USA verarbeitet werden?
Kann ich Daten verarbeiten, die auch teilweise in den USA verarbeitet werden?
Das ist so die Grundfrage, die das EuGH Urteil betrifft und dafür werde ich euch ein paar ganz kleine Merksätze mit an die Hand geben. Einige von euch kennen mich schon und wissen den ersten Merksatz schon auswendig. Ich wiederhole ihn trotzdem, denn er ist fürs weitere Verständnis unglaublich wichtig. Die Frage, wann darf man überhaupt Daten verarbeiten, personenbezogene Daten verarbeiten oder nicht, beantworte ich immer mit einem ganz einfachen Merksatz. Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, bis hier hin ganz furchtbar, das kennt ihr alle, aber das Happy End, es sei denn der Betroffene willigt ein oder es gibt eine Rechtsvorschrift, die die Verarbeitung auch ohne Einwilligung erlaubt. Das ist erst einmal der Merksatz, den man sich für Datenverarbeitung merken kann, die innerhalb der Europäischen Union stattfindet. Wer nicht genau weiß, welche Länder zur Europäischen Union gehören, kann das bei Wikipedia nachgucken, ich glaube der Artikel ist recht umfangreich und gut. Und jetzt kommt eine Zusatzfrage. Wenn diese Verarbeitung eben nicht nur innerhalb der EU stattfindet, sondern auch außerhalb der EU, dann muss eine weitere Voraussetzung hinzutreten, denn außerhalb der EU gilt die DSGVO, naja sagen wir mal nicht richtig und deshalb sagt die Datenschutzgrundverordnung, dass wenn Daten von außerhalb der EU verarbeitet werden sollen, zusätzlich diejenigen Stellen, die da außerhalb der EU die Daten verarbeiten, garantieren müssen, dass sie sich an die DSGVO halten. Also kurz zusammengefasst bei Datenverarbeitungen, die zumindest teilweise außerhalb der EU stattfinden, brauche ich entweder eine Einwilligung oder eine Rechtsvorschrift für die Datenverarbeitung und zusätzlich muss ich eine Garantie vorweisen können, dass da außerhalb der EU, wo die Daten verarbeitet werden, dass dort auch der DSGVO Standard sagen wir mal eingehalten wird. So, das ist relativ einfach noch.
EUGh Urteil: Wie Garantie einholen oder beschaffen?
Jetzt fragt ihr euch sicher, wie kann man denn so eine Garantie einholen oder beschaffen, dass sich auch ein Unternehmen in den USA, in Kanada, in Japan, weiß ich wo, auch zumindest so ungefähr an die DSGVO Standards hält. Und da hält unsere Datenschutzgrundverordnung erfreulich viele Möglichkeiten bereit. Die Standardmöglichkeit ist, dass die EU-Kommission hingeht, sich irgendein Land anguckt und sagt, ja in diesem Land gelten Europäische Datenschutzstandards. Das nennt man einen Angemessenheitsbeschluss. Die EU-Kommission beschließt also, aha dieses Land, das ist ein sicheres Drittland, da gilt ein adäquates Datenschutzrecht. Das hat die EU-Kommission für eine Reihe von Ländern gemacht, und wollt ihr wissen, welche das sind? Dann bitte guckt doch einmal auf der Seite der Europäischen Kommission, auf deren Internetseite, da stehen die relativ leicht zu finden. Dazu gehören Länder wie Kanada, Japan, aber auch im Prinzip viele, viele andere wichtige Länder. Die USA ist kein sicheres Drittland und ein Sonderfall, zudem komme ich noch.
Dann gibt es als zweite Möglichkeit, wenn so ein Land keinen Angemessenheitsbeschluss hat, dann können sich die Stellen, die Unternehmen beispielsweise, die außerhalb der EU diese Daten verarbeiten, vertraglich verpflichten, die DSGVO zu beachten. Und damit das nicht so durcheinander geht und nicht jeder seinen eigenen Vertrag macht, hat die EU-Kommission Standardmusterverträge dafür vorbereitet. Das sind die sogenannten Standardvertragsklauseln. Das ist also mehr oder minder ein Mustervertrag, den die EU-Kommission mal, schon noch vor der DSGVO-Zeit geschrieben hat, der geht aber nach wie vor und den kann man nutzen. Achtung, zwei beliebte Fehler. Erstens, viele denken sie können einfach irgendwie diese Klauseln nehmen, so ein bisschen abändern und dann für sich hindrehen. Nein, nein, die müssen wortlautgetreu übernommen werden. Da darf nicht irgendetwas geändert werden. Das muss wirklich ganz genau im Wortlaut übernommen sein. Der zweite beliebte Fehler dabei ist, dass viele Leute denken, das würde eine sogenannte Auftragsverarbeitungsvereinbarung, furchtbares Wort, ersetzen. Tut es nicht. Das muss immer zusätzlich zur Auftragsverarbeitungsvereinbarung unterschrieben werden. Das klingt jetzt alles kompliziert, aber im Prinzip könnt ihr euch merken, dass das Ganze nur ein reiner Datenschutzvertrag ist, indem sich die Stelle außerhalb der EU dazu verpflichtet, sich auch an die europäischen Datenschutzgrundsätze zu halten. Wir haben also schon zwei Garantie Möglichkeiten kennengelernt. Entweder die EU-Kommission sagt, ja alle Unternehmen in diesem Land sind sicher, weil in diesem Land ein sicheres Datenschutzrecht gilt oder wenn das nicht so sicher ist, in dem Land, können sich die Unternehmen aber freiwillig vertraglich dazu verpflichten.
Standardvertragsklausel, da gibt es unterschiedliche Versionen, bitte immer die richtige wählen, bitte nicht zuhause nachmachen, sondern einen Experten fragen, welche Variante ihr hier im Einzelfall wählen könnt. Dann gibt es noch eine dritte Ausnahme, nämlich dass das Unternehmen außerhalb der EU, in die EU reinkommt, mit einer Aufsichtsbehörde, der mit einer europäischen Aufsichtsbehörde spricht, der das Datenschutzkonzept vorstellt und dann sagt die Aufsichtsbehörde, ja du bist ein sicheres Drittunternehmen da machen wir dir einen compliance Stempel drauf und das ist gut so. Sogenannte Binding Corporate Rules. Leider spielen die in der Praxis nur eine ganz kleine Rolle bislang, aber es wird immer mehr. Immer mehr Unternehmen, teilweise auch aus den USA, nutzen dieses System. Ein letzter Notnagel ist, dass die Leute einwilligen können, dass ihre Daten außerhalb der EU verarbeitet werden. So eine Einwilligung ist relativ komplex in der
Gestaltung, aber auch das ist möglich. Es gibt noch einen Blumenstrauß weitere Ausnahmen, aber das sind jetzt für den heutigen Tag die wichtigsten. Und nun kommen wir zu diesem EuGH-Urteil.
Der Europäische Gerichtshof: Privacy Shield Abkommen ist unwirksam
Also bei dem EuGH-Urteil ging es um die Frage, ob Daten in den USA verarbeitet werden dürfen, von EU-Bürgern und die Europäische Kommission hat sich die USA mal angeschaut und ist zu dem Ergebnis gekommen, welch Wunder, dass da kein adäquates Datenschutz-Niveau herrscht. Das überrascht niemanden von uns, denn in den USA hält man das Datenschutzrecht, ich habe viele US-Mandanten, ich kann das sagen, für eine ordnungspolitische Lästigkeit. Die lachen sich im Prinzip über uns Europäer krank. Ich finde diesen US-Ansatz nicht so toll, aber ich finde auch den europäischen Ansatz nicht toll, ich finde irgendwo in der Mitte müsste man sich treffen. Aber die EU-Kommission hat gesagt, okay, alle Unternehmen in den USA, die bereit sind, sich zertifizieren zu lassen und sich quasi eine DSGVO Konformität bestätigen zu lassen, an die darf weiterhin Daten übermittelt werden. Damit ist die USA kein sicheres Drittland, aber jedes US-Unternehmen, das sich beim US-Handelsministerium hat registrieren lassen und zertifizieren lassen, galt zumindest als ein sicheres Drittunternehmen. Die Überschrift hieß ursprünglich mal Datenschutzschirm, das wurde abgelöst durch das sogenannte Privacy Shield. Das ist also ein Angemessenheitsbeschluss, der sich nicht auf die gesamte USA bezieht, aber auf einige US-Unternehmen, die sich da haben zertifizieren und registrieren haben lassen. Und der Europäische Gerichtshof hat nun gesagt, dieses Privacy Shield Abkommen ist unwirksam. Das ist alles nicht sicher und im Übrigen können ja die Geheimdienste in den USA auf die Daten zugreifen und sie haben auch ein paar andere Gründe. Ich will euch jetzt nicht mit dem Urteil langweilen, aber damit fällt das Privacy Shield Framework weg.
Das heißt alle Unternehmen, die in den USA sich da haben registrieren lassen, können zumindest damit keine Garantie mehr ergeben, sich an die DSGVO zu halten. Wie geht man jetzt damit um? Also ich fasse noch mal bis hierhin alles ganz knapp zusammen und dann will ich mal mit euch über die Lösungsmöglichkeiten sprechen und anschließend gerne all eure Fragen, so weit das hier möglich ist, beantworten. Also noch mal ganz kurz, wer Daten verarbeiten will, der muss entweder eine Einwilligung haben oder eine Rechtsvorschrift. Wer zusätzlich Daten außerhalb der EU verarbeiten will, der muss noch mal zusätzlich eine Garantie liefern, dass dort außerhalb der EU, wo die Daten verarbeitet werden, ein hinreichendes Datenschutzrecht gibt und dafür gibt die DSGVO mehrere Möglichkeiten, diese Garantie auszusprechen. Eine Möglichkeit ist, dass die EU-Kommission sagt, das ist ein sicheres Drittland. Eine andere Möglichkeit ist das Unternehmen, das außerhalb der EU-Daten verarbeitet, verpflichtet sich vertraglich und besitzt diesen Mustervertrag mit der Standardvertragsklausel dazu. Es gibt aber auch noch zahlreiche andere Möglichkeiten.
US-Unternehmen seien nicht in der Lage, die Verträge zu erfüllen
Die USA sind ein Sonderfall, denn sie sind kein sicheres Drittland. Es gab nie einen Angemessenheitsbeschluss zu den USA, aber es gab einen völkerrechtlichen Vertrag zwischen der EU und den USA. Das gesagt hat, jedes US-Unternehmen, das sich dort zertifizieren lässt, als sicheres Unternehmen, das gilt zumindest als sicheres Drittunternehmen und dann kann man das darauf das stützen und genau diese Möglichkeit hat der europäische Gerichtshof nun abgeräumt. Das war in ganz kurzen Sätzen, worum es bei diesem Urteil geht. So, jetzt gibt es viele US-Unternehmen, die eine Doppelstrategie gefahren sind. Die haben zunächst einmal sich im Privacy Shield Framework gelistet, haben aber, weil sie den Braten vielleicht schon gerochen haben, zusätzlich noch die Standardvertragsklauseln unterzeichnet und nun entbrennt in der EU ein Riesen Streit darüber, ob das denn jetzt reicht, die Standardvertragsklauseln. Einige Aufsichtsbehörden, insbesondere in Deutschland, insbesondere in Bayern und in Berlin, in Teilen aber auch in Schleswig-Holstein, sind der Auffassung, dass diese Standardvertragsklauseln, zumindest für US-Unternehmen nicht mehr helfen, denn die US-Unternehmen seien ja gar nicht in der Lage, diese Verträge zu erfüllen, weil es die Geheimdienste gibt es ja, ob es diesen Vertrag gibt oder nicht. Das versetzt uns natürlich noch in eine zusätzliche Unsicherheit, aber Datenschutzrecht würde ja keinen Spaß machen, wenn es keine zusätzlichen Unsicherheiten gebe, über die wir heute lange und breit diskutieren und debattierten können.
Aufsichtsbehörden suchen schon nach Beispielen an denen sie Exempel statuieren können
Jetzt will ich mal etwas sagen, viele haben vermutet nach diesem Urteil, das Abendland geht unter, das ist nicht passiert. Man muss das Thema dennoch ernst nehmen, denn die Aufsichtsbehörden die suchen schon wie verrückt nach Beispielen, nach Exempeln, die sie statuieren können. Hoffentlich fangen sie dabei nicht beim kleinen Mittelstand an, sondern bei etwas größeren Unternehmen, aber selbst denen gönne ich das nicht. Letzten Endes trifft es vor allem deutsche, österreichische Unternehmen sehr unvorbereitet aber auch den Rest von Europa. So, jetzt ganz kurz zu den Lösungsstrategien, die ich einmal ganz kurz umreißen will, um dann all eure Fragen zu beantworten. Lösungsstrategie oder wie geht man jetzt damit um. Am einfachsten ist es, ihr listet alle Unternehmen auf, die außerhalb von eurem Unternehmen, für euch Daten verarbeiten. Das sind in der Regel eure Auftragsverarbeiter. So, das sind meistens Marketing Tools, die ihr einsetzt oder Cloud Anbieter. Ihr schreibt die einfach mal alle auf eine Liste auf. In Klammern, alle meine Mandanten haben so eine Liste glücklicherweise schon, denn sie führen ein ordentliches Verzeichnis von Verarbeitungstätigkeiten und wenn ihr diese Liste mal alle habt, dann guckt ihr mal wo sind da überall US-Unternehmen. Die nehmt ihr euch nochmal raus, das werden ganz schön viele sein und dann guckt ihr bei diesen US-Unternehmen, worauf habt ihr bislang den US-Datentransfer gestützt. Wenn ihr gar keine Stütze dafür hattet, dann fangt mal an eine zu suchen, kann ich nur empfehlen, macht Spaß, Freude. Dann werdet ihr bei den meisten finden, Privacy Shield und Standardvertragsklausel, nur Privacy Shield, nur Standardvertragsklausel, das wird so ungefähr das Mittel sein und dann kann man bei jedem Tool eine Einzelfalllösung finden und anders geht es momentan nicht, denn ihr alle wisst, das in wenigen Monaten in den USA Präsidentschaftswahlen stattfinden und wer die EU-Kommission mal politisch durchschaut ein bisschen oder ein bisschen guckt, wie dort Entscheidungen getroffen werden, der weiß, vor den US-Präsidentschaftswahlen wird man da nicht anfangen ein neues Abkommen auszuhandeln. Wenn es denn dann überhaupt gibt. Das heißt momentan können wir nur mit einzelner Flickschusterei arbeiten, aber wir kommen ja auf die unterschiedlichen Fallgruppen.
Der Einsatz von Tracking Tools läuft sehr häufig mit US-Datentransfer ab
Ich mache euch mal ein Fallbeispiel, wie man es lösen könnte oder vielleicht zwei, aber fangen wir mal mit dem wichtigsten an. Ihr alle kennt Tracking Tools. Das sind Tools, da kommen Leute auf eure Internetseite, auf eure sozialen Netzwerke und sie bekommen ein Cookie, ein Pixel und ihr verfolgt sie und wenn sie irgendwo wieder im Internet in einem Audience Netzwerk oder Display Netzwerk landen, wird eure Werbeanzeige wieder angezeigt. Es läuft sehr häufig mit US-Datentransfer ab und ihr wisst seit einem relativ prominenten Urteil hier, dass man dafür so und so in der Regel eine Einwilligung braucht, für dieses Tracking. Dafür gibt es ja jetzt diese wunderschönen Cookie Banner, die das Interneterlebnis ja so wunderbar machen und vor allem so viel Selbstbestimmung dazu geben. Ich habe heute Morgen zum Beispiel, in einem Mandat etwas gegoogelt, bin auf einer Seite eines Unternehmens gewesen und wollte einfach nur ein paar Impressumsdaten rausziehen, um da mir für das Rechtsprogamm etwas zusammen zu suchen und da war so ein Riesen Cookie Banner und ich habe völlig entnervt dann auf alles akzeptieren geklickt. Also die Frage mit den Cookie Bannern, da kann man immer lange darüber diskutieren, aber die müssen halt sein. Und wenn wir in diesen Cookie Banner einfach, da holt ihr ohnehin schon eine Einwilligung ein für das Tracking, dann holt doch da in einem Atemzug auch die Einwilligung für den US basierten Datentransfer ein. Das muss natürlich transparent sein und die Risiken, die damit verbunden sind, müssen erklärt werden, allerdings wenn man ohnehin dort hohe Einwilligungraten hat, kann man auch damit arbeiten. Das wäre eine Lösungsmöglichkeit. Eine andere Lösungsmöglichkeit ist, ich weiß nicht, wer von euch Reisebüros vertritt, berät, wenn Reisebüros einen Auftrag bekommen, bitte buch mir meine Florida Reise, dann ist es selbstverständlich, dass die Daten nach Florida übermittelt werden müssen usw. und das gilt auch nach wie vor, ohne Privacy Shield, ohne Einwilligung, ohne alles. Wenn die Übermittlung außerhalb der EU erforderlich ist, um einen Vertrag zu erfüllen, ja dann ist das auch schon zulässig. Es gibt also eine Vielzahl von Möglichkeiten, über die man reden kann, wer von euch Franchise-Systeme hat, wo es US-Franchisegeber gibt, der gerne alle Kundendaten aus Europa haben will, auch dem kann man relativ einfach die Daten übermitteln, wenn man es nur klug genug anstellt. Das heißt es gibt für alles eine Lösung, nur leider ist sie nicht immer so einfach zu finden. Ich gucke in viele Gesichter, die vielleicht jetzt immer noch ein Sausen in den Ohren haben, deshalb möchte ich mal den Michael Mayr bitten, mir eure Fragen vielleicht teilweise vorzutragen, damit ich die beantworten kann.
Michael Mayr: Hallo, also danke erst mal für deine Ausführungen, Erklärungen und für das Hintergrundwissen. Ich arbeite mich jetzt einfach mal so der Reihe nach durch. Das ist jetzt wahrscheinlich am einfachsten. Da kommt eine eher spezielle Frage, trotzdem stellen wir sie mal. Da hat jemand geschrieben, der Jörg, ich betreibe mein Online-Geschäft über eine US LLC oder LLC und wie wirkt sich das Urteil da aus, wenn er ja natürlich hier europäische Kunden hat. Er hat den Firmensitz in den USA.
Online-Geschäft über eine US LLC bei europäischen Kunden
Dr. Stephan Gärtner: Also da muss man zwei Dinge zu sagen. Erstens, dass man ein Unternehmen außerhalb der EU hat, heißt nicht, dass man sich nicht an die DSGVO halten muss, sondern die Datenschutzgrundverordnung reklamiert für sich einen sogenannten Weltrang oder Weltgeltungsprinzip. Das bedeutet, egal wo das Unternehmen sitzt, Timbuktu, USA, China, Russland, keine Ahnung, wenn Daten von Personen, die innerhalb der EU ihren Sitz haben, verarbeitet werden, dann muss dieses Unternehmen zumindest hinsichtlich dieser Daten die DSGVO achten. Etwas anderes ist, wenn er da etwas falsch macht, ob man ihm dann ein Bußgeld vollstrecken kann gegen ihn, das hängt immer so ein bisschen von dem Land ab, in dem er sitzt. Bei der derzeitigen US-Administration bin ich mir nicht sicher, dass die allzu hilfreich werden sein werden, in den USA Bußgelder zu vollstrecken. Aber in den USA kann sich auch irgendwann mal der Wind wieder drehen, also grundsätzlich muss man zumindest, soweit man von EU-Kunden Daten verarbeitet, die DSGVO achten. Wenn man jetzt aber in den USA sitzt und beispielsweise Beratungsleistungen erbringt, also einen Vertrag erfüllt, dann ist es klar, dass der Kunde wendet sich selber, das weiß er, an ein US-Unternehmen, dann können die Daten für diese Zwecke natürlich in die USA übermittelt werden. Aber wenn ihr jetzt in den USA sitzt und ein US-Unternehmen wie Google, Facebook und wie sie alle heißen, beauftragt Marketing für euch zu machen und dafür Daten zu verarbeiten, dann hat das die gleiche Auswirkung erst einmal, wie für alle innereuropäischen Unternehmen, auch dann müsst ihr euch im Prinzip für diesen zusätzlichen Verarbeitungsweg, eine der Garantien beschaffen, da gilt im Prinzip alles, was ich vorher auch schon gesagt habe. Also der Sitz in den USA hat den einen Vorteil, dass man für die Vertragserfüllung selber keine zusätzliche Garantie braucht, wohl aber für die Marketingmaßnahmen. Das gilt natürlich nur soweit es EU Unternehmen gibt. Übrigens kleiner Tipp, ich weiß jetzt nicht, wie derjenige oder diejenige hieß, die die Frage gestellt hat oder der die Frage gestellt hat, aber wer regelmäßig, innerhalb der EU, Daten verarbeitet, aber außerhalb der EU sitzt, der ist in der Regel verpflichtet innerhalb der EU einen sogenannten Vertreter zu bestellen. Das ist letzten Endes jemand der Post von Aufsichtsbehörden mit Beschwerden und Bußgeldern und allem drum und dran was dazu gehört entgegennimmt und dann in das jeweilige Land weiterleitet. Wer diese Pflicht nicht erfüllt, kann sehr schnell Probleme bekommen, aber wenn er sie erfüllt hat er auch schon mal ein Standbein in der EU, ist auch nicht so schlecht.
Michael Mayr: Okay. Gut. Dann kommen wir zu diesen Standard Contractual Clauses und da kam die Frage: Da ja die Regierungsbehörden Zugriff per Gesetz bekommen können, macht es für die Rechtmäßigkeit des Datentransfers überhaupt einen essentiellen Unterschied, wenn kein US-Unternehmen den Zugriff von US-Behörden verhindern kann oder darf? Zweiter Teil, müssen US-Anbieter nicht jetzt eine Speicherung der Daten innerhalb der EU garantieren, wenn man diese Firmen noch DSGVO konform nutzen will?
Kein US-Unternehmen kann oder darf den Zugriff von US-Behörden verhindern
Dr. Stephan Gärtner: Ich will die Frage auch in der Reihenfolge beantworten, wie sie gestellt wurde. Die erste Frage, die hatte ich vorhin schon mal so angerissen. Es herrscht jetzt ein Riesen Streit darüber, ob, ich beziehe ich es jetzt mal nur auf US-Unternehmer, aber man kann es sicherlich auch auf andere Länder übertragen, ob für US-Unternehmen noch die Standardvertragsklausel reichen und da hat der Fragesteller richtig festgestellt, weil es keinen Unterschied macht, ob Privacy Shield oder Standardvertragsklausel, die US-Geheimdienste können so oder so darauf zugreifen. Damit hat sich der Europäische Gerichtshof auch wirklich sehr intensiv beschäftigt. Momentan ist das, was man zumindest vom europäischen Mainstream hört und da gehören nicht unbedingt die deutschen Aufsichtsbehörden zu, heißt es, Standardvertragsklausel mit US-Unternehmen nur noch nach vorheriger Risikobewertung. Das heißt je riskanter die Daten sind, die übermittelt werden oder je sensibler sie sind, desto eher würde ich meinen, dass die Standardvertragsklauseln, zumindest über kurz oder lang nicht mehr ausreichen werden. Ich werde ein kurzes Beispiel liefern. Wer Persönlichkeitsprofile im Internet erstellt, beispielsweise um damit Leute sich testen, was für ein Verkaufstalent sind sie, was für eine Art Liebhaber oder Liebhaberin sind sie, was sehr in den sensiblen Bereich reingeht, da auf ein US-Unternehmen mit Standardvertragsklauseln zu setzen, bin selbst ich skeptisch. Und ich bin eigentlich immer ein frohgestimmter und mutiger Mensch. Wenn es jetzt um ein Kontaktformular geht, wo nur E-Mail-Adresse und Nachricht erfasst werden, von einem Heizungsbauunternehmen, nichts gegen Heizungsbauunternehmen, unendlich wichtig, wenn es mal kalt wird wieder, ich weiß nicht wann das sein wird, aber dann kann man darüber nachdenken, gut, dass da jemand jetzt seine E-Mail-Adresse angibt und sagt ich habe hier einen Heizungsschaden, ob das nicht doch mit Hilfe eines US-Unternehmens und Standardvertragsklauseln abgewickelt werden kann. Das muss man sehen. Es ist also immer eine Abwägung, die man dort treffen muss, die aber letztlich jeder für sich selbst treffen muss, insofern das jeder von euch andere Verarbeitung Konzentrationen Verarbeitungskonstellationen hat. Häufig kriege ich auch die Frage gestellt, wieso es gibt doch eine Google Ireland Limited, da werden doch die Daten in der EU verarbeitet. Das ist immer so eine Sache, ob da nicht doch Datentransfer irgendwo stattfindet, wissen wir nicht und auch da hat sich die US-Regierung mit dem Cloud Hack gewisse Zugriffsrechte zugesichert. Ist schwierig.
Die zweite Frage, ging darum, ob man sich jetzt garantieren lassen müsste, dass die Daten in der EU gespeichert werden. Das musste man auch schon vorher, wenn man sich darauf stützen wollte, dass es nicht in den USA ist. Nur die Garantie selber reicht nicht. Theoretisch müsstet ihr in das Rechenzentrum fahren, einmal in den USA und einmal in Irland wahrscheinlich oder Amsterdam und mal nachgucken. Da ist natürlich unrealistisch. Da sind sowohl die Aufsichtsbehörden, als auch die DSGVO noch nicht nahe genug am Markt drin und wissen noch nicht, wie das im Einzelfall funktioniert. Ich frage mich aber auch, ob man das wirklich Unternehmen vorwerfen kann, dass sie jetzt nicht bei Google ins Rechenzentrum gegangen sind. Das halte ich dann doch für etwas übertrieben. Aber da werden wir die nächsten Wochen und Monate abwarten müssen. Die Garantie reicht nicht. Sie müssten dann darauf gespeichert werden. Übrigens ganz nett, es gibt einige Cloud Anbieter aus den USA, die sagen, wir gucken gar nicht auf eure Daten, no view, wir speichern die nur, das ist völlig irrelevant, da auch das Speichern schon eine Art der Verarbeitung ist, auch wenn die Daten nicht angeguckt werden. Das heißt, das macht leider keinen großen Unterschied. Michael.
Michael Mayr: Nächste Frage, jetzt geht es um Google Ads. Mich würde interessieren was Google Ads jetzt mit seinem „important update about GDPA compliance“, konkret mitgeteilt hat. Da ging ein Mailing rum, das alle die Google Ads schonmal geschaltet haben oder registriert sind, in dem sie uns da jetzt ihre aktuelle Situation mitgeteilt haben. Du weißt was drin steht und was das bedeutet oder auch nicht.
Google Ads und die „important update about GDPA compliance“
Dr. Stephan Gärtner: Ja, also ich habe mir diese E-Mail natürlich auch durchgelesen, ich selber nutze das nicht, aber Mandanten haben es mir entsprechend zugespielt. Es ist auch im Internet breit diskutiert und publiziert worden. Was Google im Prinzip sagt ist, dass es bei seiner kostenpflichtigen Cloud-Anwendung schon immer Standardvertragsklauseln hatte, dass sie das jetzt auch ausweiten wollen, auf einige andere Google Produkte und Google sagt mit den Standardvertragsklauseln ist doch alles okay. Ich finde das eine sehr gewagte Rechtsauffassung von Google, weil so ganz pauschal kann man das nicht sagen. Es hilft sicherlich weiter, dass Google jetzt die Standardvertragsklauseln entsprechend erweitert, was das ist haben wir vorhin schon erklärt, dieser Mustervertrag mit dem Google garantiert, sich an die DSGVO zuhalten. Das Ganze beseitigt aber noch nicht das Problem, dass US-Geheimdienste auf Google Daten zugreifen können und deshalb ist diese Risikobewertung, von der ich vorhin gesprochen habe, weiterhin so immens wichtig. Im Übrigen was jetzt alle Google Marketing Produkte angeht, das gilt auch für andere Datengiganten aus den USA, die werden sich nicht den europäischen Markt zu zerschießen wollen, es wird über kurz oder lang und auch die US-Regierung hat kein Interesse daran das Silicon Valley kaputt zu machen. Das ist nämlich ein ziemlich guter Steuerzahler, auch wenn wir wissen, dass die nur ganz wenig Steuern zahlen, aber selbst das, was sie zahlen, ist besser, als die meisten anderen Unternehmen in den USA leisten können. Und sie geben den USA natürlich auch eine gewisse Datensouveränität. Also es wird irgendeine Art von neuer Lösung geben, das was Google jetzt vorgeschlagen hat, würde ich mal ein 50%-75% Lösung nennen, aber diese Standardvertragsklauseln, ob Google die wirklich einhalten kann, halte ich für schwierig.
Michael Mayr: Okay. Da spielt die nächste Frage rein, wie ist der Einsatz von YouTube, datenschutzkonform noch möglich?
Kann man YouTube noch datenschutzkonform nutzen?
Dr. Stephan Gärtner: Also grundsätzlich was den bloßen Einsatz von YouTube angeht, ist daran weiterhin eine ganze Menge möglich. Schwierig ist im Prinzip zweierlei. Einmal, dass YouTube selber auch eine Art von Tracking durchführt und zum anderen, dass es natürlich dort auch Berührungen mit den USA gibt. Google Ireland Limited in oder her. Und wenn man für diese YouTube Anwendungen beispielsweise über einen Cookie Banner oder auf andere Art und Weise, Einwilligung einholt, dann meine Empfehlung, immer mit dieser Ankündigung Einwilligung verbinden, dass die Daten auch in die USA zumindest theoretisch übermittelt werden dürfen. Wie das funktioniert werde ich oder wie es grob funktioniert werden wir bei Abmahnairbag zeitnah in einem Blogeintrag oder ähnlichem einmal zeigen. Hoch und heilig versprochen, aber das halte ich dann da für die klügste Lösung. Überall wo es ins Marketing und Tracking Bereich reingeht, würde ich momentan auf eine, man nennt es Artikel 49 Einwilligung, ist formal keine, aber ich werde jetzt kein juristisches Proseminar halten, aber weil die Leute keine Ahnung haben, die darüber schreiben, sorry Aufsichtsbehörden, ich liebe euch und ich mag euch wirklich und ich arbeite wirklich jeden Tag mit euch zusammen, aber was da teilweise durch die Pressemitteilungen geistert, ist einfach teilweise, sorry, nicht ganz state of the art, aber ist egal. Also wenn man diese Artikel 49 Einwilligung damit verbindet, also in die Einwilligung nicht nur schreibt „Achtung es darf getrackt werden“, sondern auch „in den USA getrackt werden“ und das und das sind die Risiken, das scheint mir die beste Lösung zu sein.
Michael Mayr: Okay, jetzt kommt eine ziemlich konkrete Frage. Wir nutzen in unseren Firmen die G Suite von Google, als alleiniges Office Tool, Adobe ABS als Backup Lösung, Zoom für Videokonferenzen, Facebook zur Akquisition und so weiter. Diese Liste ließe sich beliebig erweitern. Ist es nun obsolet geworden Cloud Produkte von Google, Apple, Adobe zu nutzen?
Ist es nun obsolet geworden Cloud Produkte von Google, Apple, Adobe zu nutzen?
Dr. Stephan Gärtner: Genau das sind die Fragen, die ich logischerweise die ganzen letzten Wochen auch im Urlaub logischerweise auch von meinen Mandanten gestellt bekommen habe. Man kann das nicht pauschal beantworten, sondern Punkt A, nur von Tool zu Tool und Punkt B, von Verarbeitungskonstellation zu Verarbeitungskonstellation. Also wer diese G Suite Bezahlversion hat, hat zumindest, wenn er das aktiviert hat, ich glaube, es ist sogar standardmäßig, diese Standardvertragsklausel. Dann sollte man so ehrlich sein und in seine Kundendatenschutzerklärung, seine Lieferantendatenschutzerklärung, insofern auf der Internetseite darüber auch Daten gespeichert oder erhoben werden, dort in der Datenschutzerklärung einfach mal darauf hinweisen. Achtung wir setzen Google Suite ein und wir stützen das auf die Standardvertragsklausel. Ich will aber auch offen sagen, dass die Frage, ob das möglich ist, die ein bisschen mit schwingt dort, sehr umstritten ist. Wir haben allein in Deutschland 17 Aufsichtsbehörden und man macht da mal eine Umfrage und die sehen das sehr unterschiedlich. Es gibt da vieles von „ja ist möglich, wenn man es transparent macht und eine Rechtsgrundlage findet“ andere sagen „es ist unter keinen Umständen möglich“. Es ist halt sehr umstritten. Ich würde sagen, in diesem Kontext, in dem es eben geschildert wurde, nämlich man schreibt dem Unternehmen Briefe und man speichert Daten. Das ist in einem normalen Unternehmen, was keine Anwaltskanzlei oder Arztpraxis oder Krankenhaus ist, kann man das vielleicht noch vertreten. Je sensibler es wird, desto mehr muss man gucken. Zoho ist etwas was viele interessiert. Wer Zoho innerhalb der EU nutzt, nutzt vor allem in der Regel ein Account bei der Zoho BV in Amsterdam, wenn ich mich nicht täusche. Es gibt viele Zoho Profis, die mich wahrscheinlich gleich korrigieren werden, aber ich glaube es ist die Zoho BV in Amsterdam und das ist das gleiche wie bei Google Irland. Natürlich sagen die alle da geht nichts in die USA herüber und gar nichts und dann kommt doch irgendwann mal wieder ein leak raus, da ist doch was rübergegangen. Ich würde bei Zoho mich immer darauf stützen und hoffen, dass das mit den Standardvertragsklauseln hilft. Dann ist das aber das gleiche wie bei Google, man muss immer gucken, wer setzt es ein, wie setzt er es ein. Es ist übrigens bei allen Berufsgruppen möglich. Ich habe eben jetzt ein bisschen Steuerberater, Anwälte, Krankenhäuser ausgeschlossen, auch da gibt es Lösungsmöglichkeiten. Das ist wie die OP am offenen Herzen. Ich möchte euch jetzt auch verschonen, das ist ein sehr kompliziertes Konstrukt, das zu erklären. Nehmt mit, es geht mit ein bisschen Arbeit, aber ein Restrisiko bleibt und das gilt letztendlich auch für Facebook, für Appleprodukte, für alles. Leider kann ich das nicht anders sagen, weil uns momentan einfach noch diese Folgerechtsprechung dafür fehlt. Jetzt müssen wir mal gucken, was machen die Gerichte und die Aufsichtsbehörden daraus. Die haben nämlich erst einmal laut getrommelt und viele Pressemitteilungen herausgegeben, aber wirkliche Handlungsanweisungen gibt es noch nicht.
Michael Mayr: Okay, es geht nochmal ums Online-Marketing hier in Deutschland. Es schreibt jemand, ich arbeite mit Digistore, für die Bezahlfunktion, einem Funnel Tool mit einem Server in Kanada, wie läuft es mit Google Ads, die für Kunden erstellt werden?
Dr. Stephan Gärtner: Ja, also drei Angriffspunkte hast du eben genannt. Einmal Digistore24 GmbH, das ist ein deutsches Unternehmen, Sven Platte ist da der Chef und bei dem ist erst einmal alles gut. Die sind in Deutschland, die haben eine anständige, wirklich anständige, Datenschutzerklärung und auch die Verträge sind gut. Da habe ich gar keine Bedenken. Kanada, wenn da Daten gespeichert werden auch kein Problem, es gibt ein Angemessenheitsbeschluss der EU-Kommission. Die sagen Kanada hat ein angemessenes Datenschutzrecht. Das finde ich insofern gut, ich weiß nicht, wer schon mal mit kanadischen Unternehmen Kontakt hatte, ich schon und ich weiß, dass die das Thema Datenschutz da schon ernst nehmen. Ich finde es ein bisschen doppelzüngig, weil auch Kanada einen sehr aktiven Geheimdienst hat, der sehr eng mit den USA und Australien und Großbritannien kooperiert, wie wir alle wissen. Aber gut, bei Kanada ist die EU-Kommission etwas gnädiger. Soll ja nicht im Schaden von uns allen sein. Und das dritte ist, Google Ads bietet jetzt Standardvertragsklauseln an, darauf kann man das zunächst einmal stützen, aber bitte ganz genau die Ads-Kampagne, die man fährt unter allen Risiken und Sensibilitätsgesichtspunkten prüfen und dann zu einem Ergebnis kommen. Ich bin ja auch bemüht darum, diese Prüfreihenfolge ein bisschen aufzuschreiben und euch zeitnah dort so in Minifragesystemen zur Verfügung zu stellen, aber es ist wirklich komplex. Das sage ich nicht um jetzt meine Rechtsberatungsleistung zu verkaufen, aber es ist so. Ich mache das ganze jetzt 14 ½ Jahre und habe auch wirklich– bin auch froh, dass das EuGH Urteil erst jetzt gekommen ist, denn ich glaube noch vor fünf Jahren hätte ich sehr viel länger gebraucht, um es zu verstehen.
Michael Mayr: Gut, Danke. Eine allgemeine Frage: Welche Maßnahmen sind jetzt notwendig um als Unternehmer rechtssicher weiterhin auf Dienste wie Google Analytics zugreifen zu können? Was ist beim Umgang mit Facebook als Unternehmensprofil? Machen wir erstmals Analytics und dann–
Wie kann ich als Unternehmer weiterhin rechtssicher auf Dienste wie Google Analytics zugreifen?
Dr. Stephan Gärtner: Ja, genau. Also Google Analytics ist ja momentan ohnehin nur mit Einwilligung einsetzbar. Diejenigen die sagen das es dann weiterhin auf ein berechtigtes Interesse zu stützen– ich finde das fahrlässig mittlerweile. Da sind da die Gerichte und die Aufsichtsbehörden mittlerweile schon viel zu eindeutig. Also Google Analytics mit Cookie Banner. Und dann bitte den Cookie Banner- das ist aus meiner Sicht die momentan beste Lösung- eine zusätzliche Einwilligung für den damit verbundenen US-Datentransfer aufnehmen und in der Websitedatenschutzerklärung dann sehr genau auf die Risiken hinweisen, die damit verbunden sind. Das sind so die Voraussetzungen, die es dort gibt wie man das machen könnte und ansonsten gilt auch dort: Die Internetseite einer Psychotherapiepraxis oder Heilpraktiker für Psychotherapie, Psychologen oder so ist jetzt sehr viel kritischer zu betrachten als– und nichts gegen Handwerksunternehmen. Die sind wichtig. Die können etwas was ich nie könnte: Nämlich handwerklich tätig sein, aber bei denen ist es einfach nicht ganz so dramatisch, wenn sie es machen. Es ist aber immer eine Risikobewertung vorzunehmen. Und das nochmal generell, weil die Frage auch allgemein war: „Was muss man denn jetzt machen?“. Man muss also diejenigen Stellen identifizieren wo man Daten mit US-Tools mit US-Unternehmen verarbeitet. Muss bei jedem gucken: Gibt es nach dem Privacy Shield noch irgendeine andere Garantie, die ich nutzen kann? Und dann arbeitet man sich entsprechend daran ab. Facebookunternehmensseite hochumstritten, wenn man jetzt mal nach Schleswig-Holstein oder hier in Berlin geht. Da sagen die Aufsichtsbehörden: „Das kann man gar nicht richtig machen. Joint Controllership und kein Einfluss drauf und wie und was“. Ich gebe offen zu, ich habe eine Unternehmensseite bei Facebook. Ich überlege hin und wieder immer mal wieder aus Trotz sie abzuschalten, aber ich habe es noch nicht gemacht. Also da würde ich sagen muss man mit sehr viel Transparenz und Mut arbeiten. Das hängt wirklich davon ab welche Aufsichtsbehörde euch obliegt. Da könnte es durchaus mal krachen, aber momentan sehe ich das nicht. Ich glaube die Aufsichtsbehörden konzentrieren sich jetzt erst einmal darauf diese Marketingtools zu unterdrücken.
Michael Mayr: Die nächste Frage spielt da rein. Gibt es Ideen von der rechtlichen Seite wie Conversion Tracking in Zukunft funktionieren kann und zweite Frage: Sind Cookies ein Auslaufmodell?
Wie kann Conversion Tracking in Zukunft funktionieren?
Dr. Stephan Gärtner: Das ist ja eher eine philosophische Frage ob Cookies ein Auslaufmodell sind, die auch gar nicht so sehr rechtlich zu beantworten ist. Gibt ja viele die sagen SEO, SEA ist irgendwie besser. Es gibt ja auch Cookies, die keinen personenbezogene Daten sammeln. Gibt es ja viele Ansätze schon, um das zu umgehen. Wir selber verfolgen da auch Ansätze. Ich glaube nicht, dass Cookies so schnell ein Auslaufmodell sein werden. Zumindest wer eine schicke Webseite dargestellt haben möchte braucht ja zumindest diese transienten Cookies. Ich will da auch jetzt nicht ins Detail gehen. Also wer Conversion Tracking machen will. Wer in dem Bereich das weiter nutzen will, dem empfehle ich grundsätzliche folgendes: Bitte, es sei denn ihr seid die Super Experten dort, aber bitte setzt euch sonst mit eurem Berater hin oder mit jemandem der sehr sehr viel Ahnung davon hat und analysiert mal, was euch das Tracking in den letzten zwei bis drei Jahren an Mehrumsatz gebracht hat. Und wenn das merklich gut ist, dann kann man auch empfehlen dort zu investieren und im Prinzip eine datenschutzkonforme Lösung zu basteln. Das geht eben mit dieser sogenannten Artikel 49 Einwilligung und ich kann es immer nur wieder sagen es ist keine Einwilligung, sondern [inaudible], aber lassen wir diese Animositäten zwischen mir und einigen Aufsichtsbehörden. Aber man kann mit dieser Artikel 49 Einwilligung dann arbeiten. Das ist ein bisschen aufwendiger. Es sieht auch nicht immer so schön aus dann im Cookie Banner, aber wenn es einem was bringt: Super! Wenn man aber feststellt das Tracking einem nichts gebracht hat, oder dass man es nicht zielgerichtet eingesetzt hat, sollte man es zumindest bis es einen US-EU neues Abkommen gibt, das sie nicht abschalten alles, aber zumindest genau hinterfragen: Braucht man das? Das ist übrigens ein Tipp, den ich generell gebe. Denn es gibt so viele Leute da draußen sie die euch ärgern wollen: Konkurrenten, Querulanten und Leute, die zu viel Zeit haben. Meistens gibt es da Schnittmengen und da muss man einfach immer gut gucken und sich aufstellen. Der Abmahnairbag ist ja auch ein gutes Tool, um damit zu arbeiten, aber auch wir die die Texte für den Abmahnairbag schreiben müssen dieses Urteil ja schrittweise umsetzen und einpflegen. Ich glaube aber, dass man erst einmal gut damit beraten ist für sich selber zu analysieren: „Ist Tracking eine gute Sache für mich?“ und wenn ja, dann investiert man. Wenn nein, investiert man nicht.
Michael Mayr: Gut. Da kam noch- das wurde jetzt eigentlich schon ziemlich besprochen. Immer angesichts der neuen Lage mit Zoom, Acuity Scheduling, Zoho, Google Tracking, Pixel umgeht, das haben wir jetzt eigentlich schon in den letzten Fragen immer wieder gehabt. Dann sind wir mal- haben wir später noch eine Frage zum Abmahnairbag. Das hängen wir ein bisschen hinter. Jetzt gehen wir mal hier in den Chat was jetzt Live reingekommen ist. Gehen wir mal hoch, da kamen auch einige Fragen. Gut, da war die Frage was empfiehlst Du bei Facebook. Da bist Du eigentlich schon eingegangen.
Dr. Stephan Gärtner: Es kommt bei Facebook darauf an: „Wofür nutzt man es?“ Ist es die reine Unternehmensseite oder nutzt man zum Beispiel auch ein Facebook Pixel? Und da gilt im Prinzip- Facebook bietet ja Standardvertragsklauseln an. Allerdings Facebook ist ja was die Unternehmensseite angeht ein Joint Controller. Ich will dieses Feld gar nicht aufmachen, weil es führt uns vom Thema weg. Aber letzten Endes gilt auch da eine Risikobewertung vorzunehmen und da abzuwägen die wirtschaftlichen Vorteile und dann eine Einzelfallentscheidung zu treffen. Leider kann ich es nicht anders sagen, weil anders als Google, Facebook sich noch überhaupt nicht bewegt hat. Zumindest aus meiner Sicht nicht merklich was das Urteil angeht.
Michael Mayr: Okay, da kommen wir mal zum Firmensitz. Gilt der Sitz der Firma oder wo die Daten verarbeitet werden? Zum Beispiel: Firma gibt an, die Server für europäischen Kunden nur in der EU zu hosten.
Gilt der Sitz der Firma oder wo die Daten verarbeitet werden?
Dr. Stephan Gärtner: Also, wenn dieses Unternehmen außerhalb der EU sitzt, aber es hostet Daten nur innerhalb der EU von diesen Kunden, dann reicht das grundsätzlich zu sagen „es braucht keine zusätzliche Garantie“. Aber wenn dieses Unternehmen außerhalb der EU sitzend dann auf diese Daten zugreift dann gibt es ja schon ein Datenverarbeitungsprozess, der sich auch außerhalb der EU abspielt und dann braucht man wieder diese Garantie. Und bei US-Unternehmen kommt ja noch hinzu, dass sich die US-Regierung das Recht zugebilligt hat: selbst wenn ein US-Unternehmen Daten nur in der EU speichert, darf ja, zumindest in der Theorie, die US-Regierung auch auf diese europäischen Server zugreifen. Also die USA sind dort ein Sonderfall. Aber die Frage kam von Thomas Schiesser. Ich meine das ist ein Kollege aus der Schweiz. Ich bin mir nicht sicher. Aber wenn es so ist- wenn du jetzt also in der Schweiz sitzt und sagst von deinen EU-Kunden hostest du die Daten nur in der EU, dann ist das grundsätzlich okay. Wenn du aber darauf zugreifst brauchst du eine Garantie, aber sei beruhigt, die Schweiz gilt ja als sicheres Drittland. Deshalb gibt es was das angeht gar kein Problem.
Michael Mayr: Jetzt kommt eine ganz praktische Frage von Susanne. Stimmt, wir wurden ja zum Zoom-Meeting hier eingeladene ohne vorherige Einwilligung bezüglich Datenschutzbesonderheit. Darf ich genauso zu meinen Meetings und Webinaren einladen, oder muss ich vorher mir eine Einwilligung geben lassen?
Dr. Stephan Gärtner: Das hängt von der konkreten Konstellation ab. Das was wir machen ist nicht rechtswidrig. Da habe ich schon aufgepasst. Es ist ja so: Jeder von euch– man kann ja Zoom, selbst wenn man es über die Browserplattform nutzt, nutzt man ja Zoom als Zoomnutzer und gibt dort schon entsprechende Einwilligungserklärungen ab. Denn jeder meldet sich ja über seinen eigenen Zoom-Account an. Das sehen wir an euren Namen, die da stehen. Da gibt es also schon eine Art von Einwilligung. Problematisch ist es aber wenn ihr beispielsweise ein Unternehmen habt und eure Mitarbeiter, die selber keinen Zoom-Account haben, mit denen per Zoom spricht. Da müsste man jetzt möglicherweise von den Mitarbeitern eine gesonderte Einwilligung einholen, wo dann wieder einige Aufsichtsbehörden sagen: „Ob das freiwillig ist?“ Aber da kann ich sagen: „Liebe Aufsichtsbehörden, bitte seid mir nicht böse, aber das Bundesarbeitsgericht hat festgestellt, dass durchaus Arbeitnehmer auch freiwillig einwilligen können.“ Also es kommt auch hier, liebe Susanne, ich verstehe deine Frage, sie ist ja auch mit Recht– ein bisschen legt sie den Finger in die Wunde, aber da kommt es auf die konkrete Verarbeitungskonstellation an. Hier melden sich alle mit ihren eigenen Zoom-Accounts und akzeptieren deshalb auch die Regeln von Zoom- nutzen es quasi eigenverantwortlich und die Konstellation ist immer nur dann schwierig, wenn man Leute zuschaltet, die selber kein Zoomkonto haben. Was jetzt aber kein Freibrief für Facebook und Google sein sollte. Zoom ist da eine sehr große Ausnahme. Das kann man im Einzelfall schon sehr viel komplexer aufbereiten und auch bei Zoom, wisst ihr ja alle, die Diskussion haben wir noch sehr in Erinnerung, weil was wäre eine Krise in Deutschland, wenn man nicht über das Thema Datenschutz auch noch diskutieren könnte. Bei Zoom haben wir ja sehr heftig diskutiert in Deutschland. Diese Diskussion will ich aber nicht aufmachen, aber das gilt natürlich nach wie vor und weiterhin.
Michael Mayr: Jetzt kommt eine eher grundsätzliche Frage. Noch mal vom Thomas Schiesser. Wie sinnvoll ist das ganze wirklich? Weil CIA fängt die Daten sowieso ab, weil technisch hält der Datenstrom nicht an der EU-Grenze. Steuert sich Europa nicht ins offside?
Wie sinnvoll ist das EUGh Urteil wirklich?
Dr. Stephan Gärtner: Ich will ganz kurz etwas dazu sagen. ich kann– ich bin ja auch ein Mensch der, wenn er privat ist, eine Meinung zu Themen hat. Ich habe aber als Anwalt, und das bin ich auch schon eine Weile, gelernt, dass alle rechtspolitischen Überlegungen einfach nicht weiterführen und glücklich machen, weil man muss ja eine Lösung innerhalb des bestehenden Rechts finden. Wenn man es verändern will, soll man sich in ein Parlament wählen lassen oder eine Volksinitiative machen oder was weiß ich. Aber ansonsten so lange muss man mit dem Recht umgehen. Ich will mich dazu auch nicht äußern. Nicht, weil ich dann feige bin oder so. Ich habe da eine sehr klare Meinung, Thomas. Aber ich möchte Mandanten aus allen unterschiedlichen politischen Lagern weiterhin beraten können, weil mich die politische Meinung meiner Mandanten, sofern sie nicht völlig gegen meinen Strich geht, auch weiterhin beraten will. Ich habe in der Tat Mandanten dazu ganz unterschiedliche Auffassungen haben und die kann und will ich hier nicht vergrätzen. Das ist für mich eine Frage der Fairness und Neutralität.
Michael Mayr: Von Manfred jetzt die Frage: Ist was zu tun, wenn ich Google Business nutze?
Dr. Stephan Gärtner: Das haben wir ja vorhin schon erklärt. Wenn es dieser Bezahlaccount ist, gab es glaube ich schon die Standardvertragsklauseln. Das weitet Google jetzt auch auf weitere Produkte aus. Letzten Endes kommt es dann darauf, Manfred, was du selber machst in Google. Wenn du eine Arztpraxis, eine Anwaltskanzlei betreibst ist das zumindest schwierig. Wenn du ein Unternehmen mit sehr wenig sensiblen Daten betreibst, kann das schon eher möglich sein. Aber bitte sei transparent und bitte hab nirgendwo in der Datenschutzerklärung dann großartig etwas vom Privacy Shield stehen.
Michael Mayr: Jetzt kommt eine ganz praktische Frage: Kann man dann nicht die E-Tracker nehmen? Ist ja ein deutsches Produkt.
Dr. Stephan Gärtner: Kann man nehmen. Aber bedenkt: Da braucht trotzdem noch eine Einwilligung. Nicht für US-Datentransfer, aber für das Tracking selber. E-Tracker ist ein ganz spannendes Produkt, weil sie versuchen ja so weit wie möglich auch Anonymisierungsverfahren dort einzusetzen. Aus meiner Sicht– ich bin jetzt kein großer E-Tracker Experte– ich habe nur wenige Mandanten, die das machen und bei mir der Kanzlei gibt es einen Kollegen der sich damit wesentlich besser auskennt. Aber aus meiner Sicht braucht man dann trotzdem eine Einwilligung. Aber ist eine Alternative. Ich finde es auch ganz gut, wenn sich eine europäische IT-Landschaft herausbildet. Das ist ja auch so ein bisschen der Ansatz von Klick-Tipp, zu sagen, Marketing Made in Europe. Wo jetzt Klick-Tipp noch in Europa aber nicht mehr in der EU ist. Man darf ja noch träumen. Aber das wäre ja schön. Da würde sich jetzt ein Gegenpol herausbilden. Das wir aber jetzt bald ein europäisches Google haben werden glaube ich nicht.
Michael Mayr: Frage von Alex: Wenn eine Facebook-Unternehmensseite problematisch ist, wie ist es dann mit einem LinkedIn-Profil, mit einem Google My Business-Profil?
Fanseiten, Unternehmensseiten, Produktseiten sind durch das Urteil komplizierter geworden
Dr. Stephan Gärtner: Also das mit diesen Fanseiten, Unternehmensseiten, Produktseiten, das ist durch dieses Urteil zwar ein bisschen komplizierter geworden, aber es war schon vorher heillos umstritten. Also ich weiß nicht wer sich daran noch erinnert, aber noch vor einigen Jahren noch vor der DSGVO– hat man in Schleswig-Holstein an alle Unternehmen und Behörden, die eine Facebook-Fanseite hatten, ein Bußgeldbescheid oder zumindest eine Aufforderung geschickt, die zu deaktivieren. Das hat damals– aus meiner Sicht war das eher ein Werbegag. Es gab dann ein Urteil, das das teilweise bestätigt hat. Das ist auch beim Bundesverwaltungsgericht, möglicherweise auch beim EuGH gewesen. Das ist so eine Grauzone. Es ist ganz schwer das auf den Einzelfall runter zu brechen. In jedem Fall muss man dort eine sehr saubere Datenschutzerklärung haben. Die muss auch irgendwie im Unternehmensprofil erkennbar sein. Und Insbesondere muss man darauf hinweisen, dass es da eine sogenannte Joint Controllership, also eine gemeinsame Verantwortlichkeit gibt und muss diesen Joint Controller Vertrag, den diese sozialen Netzwerke in der Regel haben– es gibt ein paar Ausnahmen– auch idealerweise dort verlinken. Bei Facebook ist das beispielsweise möglich. Also, es gilt da alles. US soziale Netzwerke, wenn man da eine Unternehmensseite hat kommt es jetzt in den nächsten Wochen und Monaten sehr stark darauf an, ob diese sozialen Netzwerke werden beweisen können, dass entweder ihre europäischen Entitäten, also Google Ireland, Facebook Ireland, die Daten bei sich behalten und nicht an die USA senden. In Klammern- kann ich mir beim besten Willen nicht vorstellen. Aber wenn ihnen dieser Beweis gelänge, wäre dass die Möglichkeit das zu rechtfertigen. Oder dass man es schafft diese Standardvertragsklauseln dann doch nochmal durchzudrücken. Denn der Europäische Gerichtshof hat ja gesagt Standardvertragsklauseln behalten weiterhin ihre Wirksamkeit. Er hat aber auch gesagt, das muss man der Fairness halber dazu sagen, bei den USA muss man aber gucken ob die Unternehmen das erfüllen können. Es ist aber offen die Frage. Der Europäische Gerichtshof hat nicht gesagt Standardvertragsklauseln gehen gar nicht mehr. Er hat nur leise Zweifel angemeldet und da müssen wir halt gucken wie das in den nächsten Wochen geht. Meine große Hoffnung ist, dass Facebook und Google und LinkedIn und wie sie alle heißen jetzt auf die europäischen Aufsichtsbehörden zu gehen. Würde mich freuen, wenn man beispielsweise zu den französischen Behörden geht. Die sind da sehr kooperativ. Aber auch unsere Berliner Behörde hier und würde sagen: „Das ist unser Datenschutzkonzept für die Zukunft. Bitte lasst uns eine Einzelfalllösung finden.“ Das wäre das sinnvollste und ich glaube diese Unternehmen sind auch gut beraten darauf hin zu gehen. Ich weiß nicht wer die rechtlich berät und warum die das nicht wollen, aber das wäre das klügste und schönste.
Michael Mayr: Dann noch mal ganz kurz zu Zoom. Es gibt ja den Anbieter, also Zoom.us, wenn man über die Normalfunktion geht oder so wie ich über easymeet24. Das ist ein deutsches Unternehmen, das dann auf deutschen Servern hostet. Gibt es da einen Unterschied? Wenn ja welchen oder welcher ist zu empfehlen?
Zoom hat viel getan zum Thema Datenschutz
Dr. Stephan Gärtner: Empfehlen ist immer so eine Sache. Ich finde natürlich ein deutsches Unternehmen macht es viel leichter in der Datenschutzerklärung. Das ist einfach so. Ansonsten muss man sich etwas abbrechen. Man wird aber auch hier gucken müssen hat Zoom.us nicht doch irgendwo Zugriff. Und sei es auf die sogenannten Meta-Daten. Man Wann hat ein Gespräch begonnen, was waren die IP-Adressen und wann hat es beendet? Also Zoom hat viel getan zum Thema Datenschutz deshalb bin ich da sehr optimistisch, dass es da eine Lösung geben wird, aber dann lieber—lieber würde ich sagen– schöner fände ich es, man würde in den– also das deutsche Unternehmen wählen, wobei das keine hundertprozentige Garantie ist.
Michael Mayr: Beate hat nochmal zusammengefasst: Derzeitige Lösung schaut also so aus: a) Risikobewertung b) § 49 irgendwie einbinden c) abwarten d) Auflisten der Tools, oder?
Dr. Stephan Gärtner: Ich würde mit d anfangen Beate. Das macht es glaube ich etwas einfacher. Aber du hast das ganz schön zusammengefasst. Also man guckt sich die Tools an und hofft, dass die Tools entweder so binding corporate rules haben. Gleich wieder vergessen, gibt nur ganz wenige oder zumindest jetzt neuerdings wie Google es macht, die Standardvertragsklauseln anbietet. Wenn das der Fall ist, macht man eine Risikobewertung und wenn die zu Gunsten ausfällt, dann nimmt man die Standardvertragsklauseln und wenn man sagt das ist zu riskant, macht man diese Artikel 49 Einwilligung. Das würde ich bei Tracking Tools gar nicht so schlecht finden und dann– ansonsten muss man ein bisschen gucken wie sich der Markt jetzt bewegt.
Michael Mayr: Dann haben wir diesen Fragekomplex durch. Dann gehen wir mal rüber– ja dann kommen wir zu dem Thema Abmahnairbag. Der wurde von dir schon angesprochen. Ich mache zwei Hintergrundinformationen und dann darfst Du nochmal übernehmen. Den Abmahnairbag gibt es schon einige Jahre. Hintergrund ist, dass man für die Datenschutzerklärung Textbausteine erhält die a) natürlich vom Anwalt erst mal erstellt wurden und ganz wichtig, sehen wir jetzt gerade, wo dann auch dafür gesorgt wird, dass diese Textbausteine aktuell auf dem neuen Stand sind, wo also ein Anwalt hier ein update macht. Wir arbeiten ja jetzt seit dem Winter zusammen und sind jetzt im Frühjahr, mit dir als Partner Stephan, auf den Markt gekommen. Das heißt alle Abmahnairbag, die jetzt draußen sind, da sind die Textbausteine von dir und deinen Kollegen erstellt worden und ihr seid gerade ganz mächtig am Arbeiten, damit auch jetzt durch diese Änderung, auch wieder alle Nutzer des Airbags sozusagen wieder einen Hinweis bekommen, beziehungsweise auch wieder neue Bausteine in ihrer Datenschutzerklärung haben, die jetzt nicht mehr auf das Privacy Shield verweisen. So jetzt kommt nochmal was deckt der Abmahnairbag alles ab? Da übergebe ich an dich, weil du weißt—
Was deckt der Abmahnairbag alles ab?
Dr. Stephan Gärtner: Genau- Beim Abmahnairbag geht es um eure Internetseite. Es geht also nicht um eure Kunden oder Interessenten, zumindest nur mittelbar, weil die kommen ja auch auf die Internetseite, aber es geht originär erst einmal um die Datenverarbeitung die auf eurer Internetseite stattfindet. Mit Google Analytics, mit Formulartools, mit irgendwelchen WordPress Plugins, natürlich auch teilweise mit Zoho-Anwendungen, Klick-Tipp. Alles was auf eurer Internetseite so passiert wird dort abgedeckt. Was der Abmahnairbag aber logischerweise nicht leisten kann, ist darüber hinaus für Kunden, für Interessenten, für Mitarbeiter noch eine Kunden, Interessenten oder Mitarbeiter Datenschutzerklärungen zu leisten. Also wenn ihr jetzt dort ein Newsletter habt und da einen Double Opt-In einholt, dafür hat der Abmahnairbag einen Textbaustein. Wenn ihr aber eine komplexe Kampagne, beispielsweise mit einem Formular bei Facebook, das wird dann irgendwie an Web Merch gegeben, dann wird ein schönes E-Book erstellt, individualisiert oder weiß ich, was da alles möglich ist. Das ist dann ein Schritt zu weit gehend, weil das löst sich dann von der Internetseite technisch. Also, was konkret bietet der Abmahnairbag an? Ihr habt eine Internetseite und ihr wollt eine datenschutzkonforme oder eine rechtskonforme Datenschutzerklärung für die Internetseite und ein rechtskonformes Impressum. Entweder in Deutschland oder in Österreich. Das kann der Abmahnairbag leisten. Da ist er aus meiner Sicht gut und stark und zum Leistungsprofil: Wenn mir die persönliche Bemerkung gestattet ist: Worauf wir uns gestürzt haben, für uns ist diese einfache Visitenkartenseite gar nicht so interessant gewesen, sondern für uns ging es darum, dass es unter euch ja viele Leute gibt, die auf der Internetseite, sagen wir mal, auch exotische Tools einsetzen. Die ein bisschen noch Geheimtipps sind oder die von anderen Erklärungsanbietern noch nicht so abgedeckt werden, vielleicht auch noch nicht so in der Tiefe und die kennen wir ja und darauf legen wir Wert. Also ich weiß nicht wer diesen Fragebogen schon mal endgültig durchlaufen hat, dass werden einige sein. Ihr wisst, da sind eine Menge Fragen und Tools, die ihr anwählen könnt. Was ganz wichtig ist, damit wir euch beschützen können, weil Abmahnairbag hat ja auch etwas von beschützen, ist es ganz wichtig, dass ihr nicht einfach nur die Datenschutzerklärung auf die Internetseite nehmt und dann denkt es ist alles gut. Das was da drinsteht, dass sie zum Beispiel beim Tracking eine Einwilligung einholt oder so, dass sollte der Idealfall auch tun. Also die technischen Gegebenheiten der Internetseite sollten zur Datenschutzerklärung passen. Ich und die anderen im Abmahnairbag-Team, unter anderem bei mir mein Kollege Ulf Castelle, aber auch der Michael Mayr und viele andere die da mitgewirkt haben, haben sehr großen Wert darauf gelegt in den Datenschutzerklärungen eine möglichst sichere Verarbeitungsvarianten zu schildern. Die sind trotzdem conversionstark. Das verspreche ich euch. Aber vor allem geben sie euch die Möglichkeit Daten wirklich so zu erheben das ihr auch Spaß daran habt.
Abmahnairbag – Sicherheit in puncto Datenschutz für Deutschland und Österreich
Michael Mayr: Du hast jetzt schon die nächste Frage hier beantwortet. Gilt der Abmahnairbag ausschließlich für Deutschland? Dann können wir sagen: Nein, auch für Österreich gibt es– das ist dann im Abfrage– wenn man eben diese Abfrage durchgeht dann kommt die Frage: Für welches Land gilt dieser Abmahnairbag? Und Österreich können wir damit jetzt auch abdecken.
Dr. Stephan Gärtner: Genau. Also das war mir ein Herzensanliegen, dem Michael Mayr auch und vielen aus dem Umfeld von Klick-Tipp auch, das wir dort eine Österreich-Lösung bringen. Ich habe eine ganz besondere Verbindung zum Land Österreich, denn ich habe zum österreichischen Datenschutzrecht gut ein Drittel meiner Doktorarbeit geschrieben. Ich mag das österreichische Datenschutzrecht sehr gerne. Das ist von einem, wie ich finde, bemerkenswerten Pragmatismus getragen. In Deutschland neigen wir manchmal dazu das Ganze zu politisieren. In Österreich neigt man dazu Lösungen zu finden. Das ist ein schöner Ansatz und natürlich haben wir auch dafür Erklärungen. Man muss aber sagen die DSGVO gilt ja genauso in Deutschland wie in Österreich. Die Unterschiede sind dann bei einigen Normen, die in Österreich und Deutschland voneinander abweichen und die haben wir natürlich, soweit der Abmahnairbag selber Tools und so etwas, natürlich mitberücksichtigt.
Michael Mayr: Das waren jetzt die Fragen im Moment. Von mir noch der kurze Hinweis, also was uns eben unterscheidet ist, das hat Stephan angesprochen, dass wir im Moment knapp 100 Tools und Verfahrensschritte schon abbilden, die man mit ganz einfachen Ja/Nein Antworten dann entsprechend als Bausteine wieder in seiner Datenschutzerklärung findet. Das ist mal das eine und der– wenn jetzt uns nicht dieses Gerichtsurteil dazwischengekommen wäre, dann hätten wir jetzt schon die nächsten Tools glaube ich mit ergänzt. Also wir sind jetzt dann zukünftig bald bei über 100 und alle die das nutzen werden dann in Kürze auch wieder sozusagen angeschrieben werden, wenn die Texte sich ändern, so dass sie die Chance haben alles immer individuell ihre Erklärung auf dem Laufenden zu halten. Das es eben genau das was wir bieten. Kümmere Dich nicht ständig um diese Textbausteine. Da ist Stephan und Ulf und so weiter zuständig und ihr selber kümmert euch darum, dass es immer aktuell ist und dass immer noch mehr Tools eingebunden werden. Ich habe hier gerade mal– wer das verwenden möchte, im Chat auch noch mal den Digistore-Link rein und jetzt nochmal hier einen einen Promocode, der euch dann—war jetzt ganz spontan. Hat sich jetzt ergeben, aber mit dem ihr dann euch die Einrichtungsgebühr sparen könnt. Falls jemand das machen möchte. Moment, ich habe es jetzt aber nicht an alle geschickt.
[pause]
Also falls ihr Interesse habt, geht in den Chat rein, da findet ihr das. So, da ist noch eine direkte Kontaktaufnahme zu dir im Chat Stephan.
Dr. Stephan Gärtner Ich habe da schon geantwortet.
Michael Mayr: Ist okay. Gut. Dann seid ihr in Kontakt. Habt ihr noch Fragen? Ihr könnt auch gerne dann, wenn ihr gezielt das nicht schreiben wollt euer Mikro aufmachen, also ihr habt die Möglichkeit. Dann würden wir da noch drauf eingehen. Ansonsten haben wir jetzt in der Stunde ziemlich viel durchgebracht und ich glaube viele Antworten gegeben, Stephan. Dann danke ich an der Stelle dir, dass du dir Zeit genommen hast, weil ich genau weiß, wie knapp sie im Moment ist, aufgrund dieser Zeit, die jetzt gerade ist. Wir werden—und das ist jetzt etwas– wir hatten geplant das auf YouTube als live Video zu machen, aber das ist gar nicht so einfach, wenn da mehrere Leute hereinkommen. Wir hatten da noch ein Problem mit dem Ton und mit dem Hall. Deswegen heute per Zoom. Würde mich freuen, wenn ihr auf YouTube unseren Kanal abonniert und auch dann entsprechend euch die sogenannte Glocke anschaltet, dann werdet ihr informiert. Denn wir werden jetzt zukünftig, oder Stephan wird immer wieder in Videos auch viele Antworten geben. Hat er schon angekündigt. Und wenn ihr eben auch unserem YouTube-Kanal abonniert habt und eben wie gesagt euch die Erinnerungsfunktion, also diese Glocke auch anschaltet, dann bekommt ihr immer einen Hinweis, wenn es neue Informationen gibt. Also das wäre für euch. Dann seid ihr immer auf dem laufenden, wenn wir da was posten und wir schauen beim nächsten Mal—wenn wir den nächsten Live Call auch- bis dahin sicher technisch in den Griff kriegen. Dann haben wir das als YouTube. Aber die Inhalte sind wichtiger als der Ort. Hier kam noch die Frage nach dem Code. Also wenn ihr das Produkt buchen wollt, den Abmahnairbag, dann gebt eben auf der Bestellseite unter dem Begriff Promo ein und das ist jetzt der code. Also Promo als Wort. Wäre der Code, falls jemand den Airbag haben möchte. Ansonsten– schön, dass ihr euch so viel Zeit genommen habt. Auch ihr alle heute. Arbeitszeit. Aber ihr seht ist ein wichtiges Thema. Sollte man auf dem Laufenden sein und bleiben. Deswegen würden wir uns freuen, wenn ihr auch über den Kanal uns weiter verfolgt, damit wir euch dort mit vielen Infos versorgen können und wie gesagt Stephan, Dich entlassen wir jetzt auch wieder in deine Kanzlei so dass wir– das du alles weitere für deine Mandanten, aber auch für die Kunden des Abmahnairbags auf dem Laufenden hältst.
Dr. Stephan Gärtner: Na klar. Bleibt gesund. Bis bald.
Michael Mayr: Macht es gut. Schönen Tag. Tschüss.