en de

28. Februar 2022

Schrems II lösen

Privatsphäre für die Menschheit

Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) hat die EU ihre Position zum Datenschutz gestärkt und formalisiert. Die DSGVO unterstreicht, dass das Recht auf den Schutz personenbezogener Daten ein grundlegendes Menschenrecht ist und die Verarbeitung solcher Daten so gestaltet werden sollte, dass sie diesem Recht dient.

Überwachung für die nationale Sicherheit

Die USA stellen die nationale Sicherheit stärker in den Vordergrund. Durch FISA und den CLOUD-Act können nationale Sicherheitsbehörden auf sämtliche Daten zugreifen, die von amerikanischen Unternehmen gespeichert werden – unabhängig davon, wo sich die Server weltweit befinden. Edward Snowden wird oft mit der Enthüllung dieser Praktiken in Verbindung gebracht.

Unternehmen ignorieren Änderungen. Max Schrems verklagt 101 von ihnen.

Einen Monat nach dem Fall des Privacy Shields haben die Unternehmen nichts am Marketing-Stack geändert. Amerikanische Tools wie Facebook- und Google-Produkte wurden (und werden immer noch) wie zuvor eingesetzt und stützen sich auf veraltete Datenübertragungsmechanismen. Um gegen diese vorsätzliche Untätigkeit vorzugehen, verklagt Max Schrems 101 Unternehmen.

Google Analytics wurde in Österreich für nicht konform befunden.

Am 13.1.2022 veröffentlichte die österreichische Datenschutzbehörde ihren Bescheid über die Konformität der clientseitigen Standardimplementierung von Google Analytics. IP-Adressen und andere personenbezogene Daten wurden auf der Grundlage der Standard-SCCs von Google an die Google-Server übermittelt. Selbst mit der angeblichen “IP-Anonymisierung” reichten diese Maßnahmen nicht aus, um personenbezogene Daten vor einem möglichen Zugriff durch die US-Geheimdienste zu schützen.

Domino-Effekt: Europäische Datenschutzbehörden ziehen mit Empfehlungen/Urteilen nach.

Neben den niederländischen und dänischen Datenschutzbehörden empfiehlt auch die norwegische Datenschutzbehörde den Unternehmen, sich Alternativen zur standardmäßigen client-seitigen Google Analytics-Implementierung zu suchen. Sie fügen hinzu: “Wir wissen, dass auch andere europäische Datenaufsichtsbehörden weitere Entscheidungen zu Google Analytics treffen werden.” UPDATE: Wie vorhergesagt, kommt CNIL in Frankreich zu einer ähnlichen Entscheidung und fordert ein Unternehmen auf, innerhalb von 30 Tagen eine Lösung zu finden.

Internationaler Datentransfer – GA ist das erste Tool, aber auch andere sind davon betroffen.

Im österreichischen Fall wurde GA für nicht konform befunden, weil personenbezogene Daten in die USA gesendet und auf den Servern eines amerikanischen Unternehmens verarbeitet/gespeichert wurden. Es ist wichtig zu verstehen, dass es zwar noch kein Urteil für andere Tools gibt, diese aber ebenfalls betroffen sind und eine Lösung benötigen.

DSGVO & SCHREMS II ZEITLEISTE

Der Elefant im Raum: Wie kann man sich an die Datenschutzbestimmungen anpassen?

Es gibt zwei mögliche Lösungen für dieses Problem. Eine Möglichkeit besteht darin, das Problem der internationalen Datenübermittlung durch einen Mechanismus zu lösen. Dieser ermöglicht es, vorhandene Tools weiter zu verwenden. Eine andere Möglichkeit wäre, den internationalen Datentransfer ganz zu umgehen, indem man solche Tools entfernt oder Nicht-EU-Tools durch europäische Anbieter ersetzt (falls möglich).

Übernehmen Sie die Kontrolle mit Serverseitigem Tracking

Für uns deuten alle Trends im Online-Marketing wie First-Party-Daten, das Ende von Third-Party-Cookies, Compliance, Tracking-Prävention usw. auf dieselbe Lösung hin: Erhalten Sie die Kontrolle über Ihre Datenerfassung – und leiten Sie Daten nur dann bewusst weiter. Deshalb haben wir ein vollständig europäisches Serverseitiges Tracking-System entwickelt.

Für bestmögliche Compliance wird Ihr Setup in der richtigen Cloud gehostet

Wie oben beschrieben, machen FISA und der CLOUD-Act das Hosting zu einem sehr sensiblen Thema. Deshalb haben wir unser Cloud-Setup mit Hilfe unserer rechtlichen und technischen Experten optimiert. Wir sind stolz darauf, dass wir unsere SaaS bei Partnern wie Exoscale hosten können. Dabei stellen wir sicher, dass die Leistung, Skalierbarkeit und Zuverlässigkeit immer gegeben sind.

Pseudonymisierung personenbezogener Daten für internationale Datentransfer

Für uns ist die “Lösung” des internationalen Datentransfers der widerstandsfähigste Weg in die Zukunft. Unsere Infrastruktur und Datenerfassung ist ein wesentlicher Teil der Gleichung. Der zweite Teil ist die technische Möglichkeit, jedes Datenfeld mit einem Klick zu pseudonymisieren. Auf diese Weise können Sie gemeinsam mit Ihrem Compliance-Team die Regeln für internationale Datenübermittlungen festlegen – und die Kontrolle behalten.

Weitere Beiträge

Blog

Internationaler Datentransfer

Was Sie über den internationalen Datentransfer im Rahmen der DSGVO wissen mü...
01
Sep
Event

Event – Datenqualität versus Datenschutz

Kompromiss oder perfekter Match?
Blog

Mit rechtlichen Unsicherheiten beim Website-Tracking umgehen

von Tilman Herbrich & Mira Suleimenova