Logo Logo
Cookiebot

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) und die ePrivacy-Richtlinie (ePR) haben Einfluss darauf, wie Ihre Website Cookies verwenden darf und wohin auf der Welt sie personenbezogene Daten senden darf.

Scannen Sie Ihre Website kostenlos, um zu sehen, ob Sie personenbezogene Daten in nicht-adäquate Länder senden.

Veröffentlicht am 16. August 2021.


Im Juli 2020 hat der Europäische Gerichtshof ( EuGH ) den Privacy Shield, der den ungehinderten Datenfluss zwischen der EU und den USA sicherte abgeschafft.

Am 4. Juni 2021 verabschiedete die Europäische Kommission zwei Sätze von Standardvertragsklauseln (SCCs), die die alte Regelung ersetzen und die Übermittlung personenbezogener Daten zwischen der EU und Ländern ohne Angemessenheitsbeschluss erleichtern sollen.

In diesem Blogpost führen wir Sie durch das Urteil Schrems II, die Empfehlungen des Europäischen Datenschutzrates (EDPB) zur Bewertung und Sicherung von Datentransfers in Länder außerhalb der EU und die Konsequenzen für Ihre Website.

Verwenden Sie den leistungsstarken Scanner von Cookiebot, um zu sehen, wohin in der Welt Ihre Website Daten sendet.


Kurze Zusammenfassung


Schrems II, Privacy Shield und EU-US Datenfluss

Der EU-Gerichtshof (EuGH) fällte am Donnerstag, den 16. Juli 2020, ein Urteil in dem als Schrems II bekannten Fall (C-3111/18), in dem die Mechanismen für die Übermittlung personenbezogener Daten zwischen der EU und den USA mit dem Argument angefochten wurden, dass das US-Recht den Schutz personenbezogener Daten aus der EU nicht angemessen gewährleisten kann.

In einer bahnbrechenden Entscheidung schlug der EuGH den "Privacy Shield" nieder, einer der meistgenutzten Mechanismen, der es US-Handelsunternehmen erlaubt, personenbezogene Daten aus der EU in die USA zu übertragen und dort zu speichern.

Die Entscheidung des EuGHs, den Privacy Shield für ungültig zu erklären, macht die USA zu einem nicht-adäquaten Land ohne gesonderten Zugang zu Europas personenbezogenen Datenströmen.

Am 4. Juni 2021 nahm die Europäische Kommission zwei neue Standardvertragsklauseln (kurz SVK, engl: SCC (Standard Contractual Clauses)) an, um das Privacy Shield-Datenübermittlungssystem zu ersetzen. Eine der beiden befasst sich mit Verantwortlichen und Auftragsverarbeitern und die andere mit der Übermittlung personenbezogener Daten in Drittländer.

Die EU-Standardvertragsklauseln 2021

Laut der EU-Komission, reflektieren die neuen EU-SVK aus dem Juni 2021 die neuen Anforderungen der Datenschutz-Grundverordnung (DSGVO) und berücksichtigen das Schrems-II-Urteil des Europäischen Gerichtshofs, sodass ein hohes Datenschutzniveau für die Bürgerinnen und Bürger gewährleistet sei.

Die EU-SVK 2021 - 

Die neuen EU-SVK sollen die Anforderungen der DSGVO reflektieren und ein hohes Datenschutzniveau für die Bürgerinnen und Bürger gewährleisten.

Die neuen EU-Standardvertragsklauseln erlauben die Übermittlung personenbezogener Daten zwischen der EU und jedem Drittland

Während die alten SVKs Datenübermittlungen nur in Verbindung mit einem Datenverarbeitungsabkommen zuließen, erlauben die im Juni 2021 angenommenen Standardvertragsklauseln den Datentransfer zwischen folgenden Parteien:

Laut der Begriffsbestimmung im Artikel 4 der DSGVO gilt als "Verantwortlicher" die Partei, die über die Verarbeitung von Daten entscheidet und als "Auftragsverarbeiter" die, die Daten im Auftrag des Verantwortlichen verarbeitet. 

Die neuen Standardvertragsklauseln (SVK) können ab dem 27. Juni 2021 verwendet werden, während die bestehenden SVK bis zum 27. September 2021 verwendet werden dürfen.

Der Europäische Datenschutzbeauftragte (EDSB) hat außerdem aktualisierte Empfehlungen für Datenübermittlungen in Länder außerhalb der EU veröffentlicht, in denen Sie einen fünfstufigen Leitfaden für die sichere Übermittlung personenbezogener Daten in ein Drittland (wie die USA) finden.

Die neuen EU-Standardvertragsklauseln (EU-SVK)

Die aktualisierten Empfehlungen des EDSB inklusive des Fünf-Schritte-Leitfadens (PDF in Englisch)

Die offizielle Pressemitteilung des EU-Gerichtshofs zum Schrems-II-Urteil (PDF in Englisch)

EDSB-FAQ zum Schrems II Privacy Shield Fall (PDF in Englisch)

Nutzen Sie Cookiebot CMP, um herauszufinden, wohin auf der Welt Sie Daten senden


EDPB-Empfehlungen für Datentransfers außerhalb der EU


Am 18. Juni 2021 verabschiedete der Europäische Datenschutzausschuss (EDPB) aktualisierte Empfehlungen für die sichere Übermittlung personenbezogener Daten aus der EU. Der fünfstufige Leitfaden für Unternehmen und Organisationen brachte Klarheit in die Branche, in der seit der Aufhebung des Privacy Shield Anfang 2020 Verwirrung herrschte.

Die EDPB-Empfehlungen helfen Website-Eigentümern und -Betreibern, sich im ‘juristischen Meer’ der Datenübermittlung außerhalb der EU in nicht-adäquate Länder wie die USA zurechtzufinden und gleichzeitig sicherzustellen, dass die Daten geschützt bleiben.

Das EDPB veröffentlichte auch ein zweites Dokument – 'EU Essential Guarantees' - das als Unterstützung für Website-Eigentümer und -Betreiber verwendet werden kann, wenn es darum geht zu beurteilen, ob Datentransfers in ein Land sicher sind oder nicht.

EDPB-Empfehlungen zu ergänzenden Maßnahmen für einen konformen Datentransfer (PDF in Englisch)

'EU Essential Guarantees' (PDF in Englisch)

Im folgenden Abschnitt gehen wir die EDPB-Empfehlungen für sichere Datentransfers in Länder außerhalb der EU durch, mit besonderem Schwerpunkt auf den Folgen für die Verwendung von Cookies durch Ihre Website und die Verarbeitung personenbezogener Daten Ihrer Endbenutzer.

N.B. Beachten Sie, dass Websites Daten auch auf andere Weise als durch Cookies und Tracker senden können.


Schritt 1 – wohin senden Sie Daten?

Sie müssen wissen, wohin in der Welt Ihre Website persönliche Daten der Endbenutzer sendet – dies ist Schritt eins.

Dies ist entscheidend für alle weiteren Punkte, denn wenn Sie herausfinden, dass Ihre Website persönliche Daten von Benutzern z.B. in die USA sendet, müssen zusätzliche Schritte unternommen werden, um die Einhaltung der Vorschriften sicherzustellen.

Den Datenfluss Ihrer Website nachzuvollziehen kann eine sehr komplexe Aufgabe sein, aber wenn Sie Cookiebots leistungsstarken Website-Scanner verwenden, erkennt dieser automatisch alle Cookies und Tracker auf Ihrer Website und gibt Ihnen einen detaillierten Bericht darüber, wohin in der Welt Ihre Website Daten sendet.

Scannen Sie Ihre Website kostenlos, um zu sehen, wohin in der Welt Sie Daten senden


Schritt 2 – wie senden Sie Daten?

Sobald Sie einen Überblick darüber haben, wohin in der Welt Ihre Website persönliche Daten sendet, empfiehlt der zweite Schritt in den EDPB-Empfehlungen, sicherzustellen, dass Sie den richtigen Übertragungsmechanismus verwenden.

Wenn Ihre Website personenbezogene Daten in Länder mit einem entsprechenden EU-Abkommen 'EU adequacy agreement' (z.B. Japan) sendet, brauchen Sie keine weiteren Schritte bezüglich dieser Datentransfers zu unternehmen.

Sollte Ihre Website aber auch personenbezogene Daten in Länder ohne ein Angemessenheitsabkommen mit der EU (z.B. die Vereinigten Staaten) senden, müssen Sie sicherstellen, dass Ihre Website eines der in Artikel 46 der DSGVO aufgeführten Übertragungsinstrumente verwendet.

Und bedenken Sie, dass Sie immer die Zustimmung Ihrer Endbenutzer benötigen, bevor Sie persönliche Daten sammeln oder verarbeiten – auch wenn Sie diese nicht in Länder außerhalb der EU senden.

Scannen Sie Ihre Website kostenlos, um zu sehen, welche Cookies persönliche Daten von Benutzern tracken


Schritt 3 – werden die Daten geschützt, nachdem Sie sie übermittelt haben?

Die Beurteilung, ob ein Land über Gesetze oder Datenschutzpraktiken verfügt, die ein gleichwertiges Datenschutzniveau für die Nutzer Ihrer Website und deren persönliche Daten garantieren können wie in der EU, ist der dritte Schritt im Leitfaden der EDPB-Empfehlungen.

Dieser Schritt mag etwas schwierig erscheinen – vielleicht sind Sie mit dem US-Datenschutzrecht nicht sehr vertraut?

Hier können Ihnen die 'EU Essential Guarantees' des EDPB bei der Bestimmung des Datenschutzniveaus eines Landes helfen.

Die 'EU Essential Guarantees' können Ihnen helfen, einen Überblick darüber zu erhalten, wie Sie eine solche Bewertung der Länder vornehmen können, an die Ihre Website Daten sendet, z.B. ob –

Werfen Sie auch einen Blick in Anhang 3, Seite 47 der aktualisierten EDPB-Empfehlungen für mögliche Informationsquellen zur Bewertung eines Drittlandes.

Scannen Sie Ihre Website, um zu sehen, wohin in der Welt Sie Daten senden

Sie müssen wissen, wohin Ihre Website personenbezogene Daten der Endnutzer sendet.

Sie müssen wissen, wohin Ihre Website personenbezogene Daten der Endnutzer sendet.

Schritt 4 – Anwendung zusätzlicher Datentransferschutzmaßnahmen

Wenn Sie feststellen, dass Ihre Website personenbezogene Daten von Endnutzern z.B. in die USA sendet, die nicht als ein angemessenes Datenschutzniveau anerkannt sind, wird in Schritt vier der EDPB-Empfehlungen dargelegt, wie Sie zusätzliche Sicherheit bei Ihren Datenübertragungen gewährleisten können, damit diese den EU-Normen gleichwertig sind.

Diese zusätzlichen Maßnahmen in den EDPB-Empfehlungen umfassen –

Diese ergänzenden Maßnahmen finden sich in Anhang 2 der EDPB-Empfehlungen (PDF in Englisch)


Schritt 5 & 6 – Dokumentation und Neubewertung

In den letzten beiden Schritten des EDPB-Empfehlungsleitfadens werden Sie aufgefordert, Ihre Datenübertragungspraktiken zu dokumentieren und zu erläutern, wie Sie einen angemessenen Schutz für die Endbenutzer Ihrer Website gewährleisten.

Sie werden auch dazu ermutigt, Ihre Datentransferpraktiken in angemessenen Abständen neu zu bewerten, um sicherzustellen, dass Sie immer über die neuesten Entwicklungen in den Ländern, an die Sie persönliche Daten senden, auf dem Laufenden sind.

Scannen Sie Ihre Website, um zu sehen, wohin in der Welt Sie Daten senden


Wohin sendet Ihre Website Daten?


Scannen Sie Ihre Website kostenlos mit Cookiebot

Scannen Sie Ihre Website, um den vollständigen Überblick und die Kontrolle über alle Cookies und Tracker zu erhalten, die auf Ihrer Website in Betrieb sind.

Die weltweit führende Scan-Technologie von Cookiebot ermöglicht es Ihnen, herauszufinden, welche Art von Daten Ihre Domain verarbeitet und wohin in der Welt die Daten gesendet werden.

Erhalten Sie einen kostenlosen Scan-Bericht von Cookiebot, der zeigt, in welche Länder jedes Cookie auf Ihrer Website Benutzerdaten sendet und ob die Länder von der EU als angemessenes Land betrachtet werden.

Mit Cookiebot erhalten Sie vollständige Transparenz über die Datenströme Ihrer Website und volle Kontrolle über Cookies von Drittanbietern wie Facebook und Google-Cookies aus den USA.



Der Cookie-Banner von Cookiebot für vollständige DSGVO-Konformität Ihrer Website.

Der Cookie-Banner von Cookiebot für vollständige DSGVO-Konformität Ihrer Website.



Die Consent Management-Plattform von Cookiebot ermöglicht eine echte Zustimmung der Endbenutzer durch einen Cookie-Banner, der alle Tracker automatisch in vier leicht verständliche Cookie-Kategorien gruppiert, die von den Endbenutzern in detaillierter Weise aktiviert und deaktiviert werden können, um eine gültige Zustimmung gemäß der DSGVO sicherzustellen.


Vollständige Transparenz

Die Scan-Technologie von Cookiebot findet alle Cookies und Tracker auf Ihrer Website und stellt genau fest, welche Arten von personenbezogenen Daten sie verarbeiten und wohin in der Welt sie Daten senden - so können Sie schnell vollständige Einsicht in den Konformitätsgrad Ihrer Domain und den Schutz der Endbenutzerdaten erhalten.


Vollständige Konformität

Die Consent Management-Plattform von Cookiebot überträgt dem Endbenutzer die volle Kontrolle und ermöglicht es ihm, eine granulare Einwilligung zu jedem spezifischen Datenverarbeitungszweck zu erteilen, wie es nach der DSGVO erforderlich ist, um den vollen Schutz personenbezogener Daten zu gewährleisten.


Vollständige Anpassbarkeit

Cookiebot ist vollständig individualisierbar und ermöglicht es Ihrer Website, ihre Nutzer über Ihre spezifischen Cookie- und Tracking-Einstellungen zu informieren, um einen ehrlichen und transparenten Dialog darüber zu ermöglichen, welche Daten Sie wie, zu welchem Zweck verarbeiten und wohin in der Welt diese gesendet werden.

Scannen Sie Ihre Website kostenlos, um zu sehen, wohin in der Welt persönliche Daten gesendet werden.

Testen Sie Cookiebot 30 Tage kostenlos… oder für immer, wenn Sie eine kleine Website haben.

Erfahren Sie mehr im Artikel des Cookiebot-Supports über das Versenden personenbezogener Daten in nicht-adäquate Länder.

Erfahren Sie mehr zu DSGVO und Cookie-Zustimmung.

Lesen Sie mehr zu CCPA-Konformität mit Cookiebot.


Worum geht es im Fall Schrems II?


Benannt nach dem österreichischen Rechtsanwalt und Datenschutzaktivisten Max Schrems von NOYB (kurz für „none of your business“ dt. geht Dich nichts an), stellte der Fall Schrems II zwei der am häufigsten verwendeten Mechanismen für den Transfer personenbezogener Daten von der EU in die USA in Frage, nämlich die Standardvertragsklauseln (engl. Standard Contractual Clauses (SCC)) und das Privacy Shield Framework.

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) der EU schreibt vor, dass ein Land über ein angemessenes Datenschutzniveau verfügen muss, bevor Daten aus der EU an dieses Land übermittelt werden können. Angemessenheitsentscheidungen (engl. Adequacy Decisions) der EU-Kommission entscheiden darüber, ob personenbezogene Daten legal in ein Land außerhalb der EU übermittelt werden können.

Die USA werden von der EU nicht als Land anerkannt, das über ein angemessenes Datenschutzniveau verfügt, aber mehrere Transfer-Mechanismen ermöglichen es kommerziellen Unternehmen und Organisationen in den USA, personenbezogene Daten aus der EU an die USA zu übermitteln, wo diese dann gespeichert werden.

Dazu gehören die Standardvetragsklauseln (SVK), das Privacy Shield und die Binding Corporate Rules (BCR, dt. verbindliche Unternehmensregeln).

In dem Fall Schrems II wurde die Rechtmäßigkeit des Systems mit dem Argument angefochten, dass ein angemessenes Datenschutzniveau in der EU von Facebook nicht gewährleistet werden kann, da die US-Gesetze (wie FISA 702 und EO 12.333) eine Massenüberwachung vorschreiben, was in krassem Gegensatz zum EU-Recht (wie der DSGVO) steht.

In dem Fall Schrems II wurde die Rechtmäßigkeit des Systems mit dem Argument angefochten, dass ein angemessenes Datenschutzniveau in der EU von Facebook nicht gewährleistet werden kann, da die US-Gesetze (wie FISA 702 und EO 12.333) eine Massenüberwachung vorschreiben, was in krassem Gegensatz zum EU-Recht (wie der DSGVO) steht.

Können die EU-Datenschutzstandards nach einem Transfer in die USA garantiert werden?

Der Fall Schrems II ging an den EuGH, nachdem Max Schrems 2015 die irische Datenschutzbehörde gebeten hatte, Facebook anzuordnen, seine Datentransfers von der EU in die USA auszusetzen.

Die Vorgehensweise von Facebook, personenbezogene Daten aus der EU über ihre Server in Irland an den Hauptsitz in den USA zu übermitteln, stützt sich auf die Standardvertragsklauseln (SVK).

Der Fall Schrems II stellte jedoch die Rechtmäßigkeit dieses Systems in Frage und argumentierte, dass ein angemessenes Datenschutzniveau in der EU von Facebook nicht gewährleistet werden kann, da die US-Gesetze (wie FISA 702 und EO 12.333) eine Massenüberwachung vorschreiben. Dies steht in scharfem Gegensatz zum EU-Recht (wie der DSGVO), das einen starken Datenschutz vorschreibt.

Schrems' Antrag, Facebook-Datentransfers aus der EU in die USA zu verbieten, ging über den Irish High Court an den EuGH, der nun elf Fragen vorliegen hat, die sich alle damit befassen, ob und wie personenbezogene Daten von EU-Bürgern in den USA geschützt werden können unter Berücksichtigung der grundlegend anderen Rechtslandschaft.

Das EuGH-Urteil im Fall Schrems II vom 16. Juli 2020 hat sich zum großen Teil auf die Seite von Max Schrems geschlagen, indem es den Privacy Shield als Mechanismus für die Übermittlung personenbezogener Daten zwischen der EU und den USA für ungültig erklärte.

Ebenso hat das Urteil den für die Datenverarbeitung Verantwortlichen und den Datenschutzbehörden in jedem EU-Mitgliedstaat strenge Verpflichtungen auferlegt, einen angemessenen Schutz für die Übermittlung personenbezogener Daten bei der Verwendung von Standardvertragsklauseln (SVK) als Mechanismus zu gewährleisten.

Testen Sie kostenlos, ob Ihre Website persönliche Daten in nicht-adäquate Länder sendet.

Swiss-US Privacy Shield ebenso entkräftet


Am 8. September 2020 hat der schweizerische Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) nach einer Bewertung des Swiss-US Privacy Shields, das den Datentransfer zwischen der Schweiz und den USA gewährleistet, das Transferregime als unangemessen bezeichnet.

Der EDÖB erachtete den Datenschutz in den USA als unzureichend, und der Datentransfermechanismus Swiss-US Privacy Shield wurde für ungültig erklärt - genau wie der EuGH den EU-US Privacy Shield für ungültig erklärt hat.

Erfahren Sie hier mehr zur Entscheidung des EDÖB zum Swiss-US Privacy Shield.

FAQ


Was ist Schrems II?

Schrems II ist ein Fall des EU-Gerichtshofs (EuGH), der über die Mechanismen entscheidet, die den Transfer personenbezogener Daten aus der EU in die USA ermöglichen. Der EuGH hat den Privacy Shield, einen weit verbreiteten Rahmen für die Übermittlung personenbezogener Daten in die USA, abgeschafft und entschieden, dass Standardvertragsklauseln (SVK) verwendet werden können, solange der für die Datenverarbeitung Verantwortliche, der Datenempfänger und die Datenschutzbehörde des EU-Mitgliedslandes der Meinung sind, dass die Übermittlung ein angemessenes Datenschutzniveau gewährleisten kann.

Scannen Sie kostenlos, um zu sehen, wohin Ihre Website Daten sendet.


Sendet meine Website Daten in die USA?

Wenn Ihre Website Cookies und Tracker von Social-Media-Plattformen, Analyse-Tools oder Marketing-Software von US-Firmen verwendet, ist es sehr wahrscheinlich, dass diese personenbezogene Daten von Ihren Endnutzern in die USA übertragen und speichern.

Scannen Sie Ihre Website mit Cookiebot, um vollständige Transparenz zu erhalten.


Ist meine Website DSGVO-konform?

Damit Ihre Website mit der Allgemeinen Datenschutz-Grundverordnung (DSGVO) konform ist, müssen Sie die ausdrückliche Zustimmung der Endnutzer vor jeder Erhebung, Verarbeitung oder Weitergabe ihrer personenbezogenen Daten erbitten und einholen. Wenn Sie Facebook- oder Google-Cookies auf Ihrer Website haben, dürfen diese nur aktiviert werden, nachdem Ihre Benutzer ihre Zustimmung gegeben haben.

Erfahren Sie mehr über die DSGVO und Cookie-Einwilligung.


Wie kann ich meine Website nach Cookies durchsuchen?

Die Verwendung einer Consent Management-Plattform mit weltweit führender Scanning-Technologie ermöglicht es Ihnen, Ihre Domain tiefgehend zu scannen, um alle Cookies und ähnliche Tracking-Technologien zu erkennen und zu kontrollieren. Das Mapping des Cookie-Setups Ihrer Website gibt Ihnen einen sofortigen Einblick in die Art und Weise, wie Ihre Website personenbezogene Daten verarbeitet und wohin in der Welt sie diese Daten sendet.

Testen Sie Cookiebot 30 Tage lang kostenlos... oder für immer, wenn Sie eine kleine Website haben.


Ressourcen


Offizielle Pressemitteilung des EU-Gerichtshofs (EuGH) im Fall Schrems II/Privacy Shield

EDPB-Empfehlungen für Datentransfers außerhalb der EU (PDF in Englisch)

'EDPB Essential Guarantees' (PDF in Englisch)

EDPB Leitlinien zur Übermittlung von Daten an nicht adäquate Drittländer

Reaktion auf das Schrems II Urteil von Max Schrems bei NOYB

Pressemitteilung des EDÖB zur Entscheidung bzgl. Swiss-US Privacy Shield

Erfahren Sie mehr über die DSGVO und Cookie-Zustimmung

Lesen Sie mehr über die Einhaltung der DSGVO für Ihre Website

Erfahren Sie mehr über die EDPB-Richtlinien zur gültigen Zustimmung in der EU

Süddeutsche Zeitung: Europäischer Gerichtshof kippt US-EU-Datendeal "Privacy Shield"

Netzpolitik.org: EU-Gericht zerschlägt Privacy Shield

Testen Sie Cookiebot 30 Tage kostenlos… oder für immer, wenn Sie eine kleine Website haben.

New Google Consent Mode 

Cookiebot integrates perfectly with the new Google Consent Mode.

Machen Sie heute die Verwendung von Cookies und Online-Tracking auf Ihrer Website konform

Jetzt kostenlos testen