In einer bahnbrechenden Entscheidung schlug der EuGH den \"Privacy Shield\" nieder<\/strong>, einer der meistgenutzten Mechanismen, der es US-Handelsunternehmen erlaubt, personenbezogene Daten aus der EU in die USA zu \u00fcbertragen und dort zu speichern.<\/p>\n\n\n\n Die Entscheidung des EuGHs, den Privacy Shield f\u00fcr ung\u00fcltig zu erkl\u00e4ren, macht die USA zu einem nicht-ad\u00e4quaten Land<\/strong> ohne gesonderten Zugang zu Europas personenbezogenen Datenstr\u00f6men.<\/p>\n\n\n\n Am 4. Juni 2021 nahm die Europ\u00e4ische Kommission zwei neue Standardvertragsklauseln<\/a> (kurz SVK, engl: SCC (Standard Contractual Clauses)) an, um das Privacy Shield-Daten\u00fcbermittlungssystem zu ersetzen. Eine der beiden befasst sich mit Verantwortlichen und Auftragsverarbeitern<\/a> und die andere mit der \u00dcbermittlung personenbezogener Daten in Drittl\u00e4nder<\/a>.<\/p>\n\n\n\n Laut der EU-Komission, reflektieren die neuen EU-SVK aus dem Juni 2021<\/a> die neuen Anforderungen der Datenschutz-Grundverordnung (DSGVO) und ber\u00fccksichtigen das Schrems-II-Urteil des Europ\u00e4ischen Gerichtshofs, sodass ein hohes Datenschutzniveau f\u00fcr die B\u00fcrgerinnen und B\u00fcrger gew\u00e4hrleistet sei.<\/p>\n\n\n\n Die EU-SVK 2021 - <\/p>\n\n\n\n W\u00e4hrend die alten SVKs Daten\u00fcbermittlungen nur in Verbindung mit einem Datenverarbeitungsabkommen zulie\u00dfen, erlauben die im Juni 2021 angenommenen Standardvertragsklauseln den Datentransfer zwischen folgenden Parteien:<\/p>\n\n\n\n Laut der Begriffsbestimmung im Artikel 4 der DSGVO<\/a> gilt als \"Verantwortlicher\" die Partei, die \u00fcber die Verarbeitung von Daten entscheidet und als \"Auftragsverarbeiter\" die, die Daten im Auftrag des Verantwortlichen verarbeitet. <\/p>\n\n\n\n Die neuen Standardvertragsklauseln (SVK) k\u00f6nnen ab dem 27. Juni 2021<\/strong> verwendet werden, w\u00e4hrend die bestehenden SVK bis zum 27. September 2021<\/strong> verwendet werden d\u00fcrfen. Die neuen EU-Standardvertragsklauseln (EU-SVK)<\/a> Am 18. Juni 2021 verabschiedete der Europ\u00e4ische Datenschutzausschuss (EDPB)<\/a> aktualisierte Empfehlungen f\u00fcr die sichere \u00dcbermittlung personenbezogener Daten aus der EU. Der f\u00fcnfstufige Leitfaden<\/a> f\u00fcr Unternehmen und Organisationen brachte Klarheit in die Branche, in der seit der Aufhebung des Privacy Shield Anfang 2020 Verwirrung herrschte.<\/p>\n\n\n\n Die EDPB-Empfehlungen<\/a> helfen Website-Eigent\u00fcmern und -Betreibern, sich im \u2018juristischen Meer\u2019 der Daten\u00fcbermittlung au\u00dferhalb der EU in nicht-ad\u00e4quate L\u00e4nder wie die USA zurechtzufinden und gleichzeitig sicherzustellen, dass die Daten gesch\u00fctzt bleiben.<\/p>\n\n\n\n Das EDPB ver\u00f6ffentlichte auch ein zweites Dokument \u2013 'EU Essential Guarantees'<\/a> - das als Unterst\u00fctzung f\u00fcr Website-Eigent\u00fcmer und -Betreiber verwendet werden kann, wenn es darum geht zu beurteilen, ob Datentransfers in ein Land sicher sind oder nicht.<\/p>\n\n\n\n EDPB-Empfehlungen zu erg\u00e4nzenden Ma\u00dfnahmen f\u00fcr einen konformen Datentransfer (PDF in Englisch)<\/a><\/p>\n\n\n\n 'EU Essential Guarantees' (PDF in Englisch)<\/a><\/p>\n\n\n\n Im folgenden Abschnitt gehen wir die EDPB-Empfehlungen f\u00fcr sichere Datentransfers in L\u00e4nder au\u00dferhalb der EU durch, mit besonderem Schwerpunkt auf den Folgen f\u00fcr die Verwendung von Cookies durch Ihre Website<\/strong> und die Verarbeitung personenbezogener Daten Ihrer Endbenutzer<\/strong>.<\/p>\n\n\n\n N.B. Beachten Sie, dass Websites Daten auch auf andere Weise als durch Cookies und Tracker senden k\u00f6nnen.<\/p>\n\n\n\n Sie m\u00fcssen wissen, wohin in der Welt Ihre Website pers\u00f6nliche Daten der Endbenutzer sendet \u2013 dies ist Schritt eins<\/strong>.<\/p>\n\n\n\n Dies ist entscheidend f\u00fcr alle weiteren Punkte, denn wenn Sie herausfinden, dass Ihre Website pers\u00f6nliche Daten von Benutzern z.B. in die USA sendet, m\u00fcssen zus\u00e4tzliche Schritte unternommen werden, um die Einhaltung der Vorschriften sicherzustellen.<\/p>\n\n\n\n Den Datenfluss Ihrer Website nachzuvollziehen kann eine sehr komplexe Aufgabe sein, aber wenn Sie Cookiebots leistungsstarken Website-Scanner verwenden, erkennt dieser automatisch alle Cookies und Tracker<\/strong> auf Ihrer Website und gibt Ihnen einen detaillierten Bericht<\/strong> dar\u00fcber, wohin in der Welt Ihre Website Daten sendet.<\/p>\n\n\n\n Scannen Sie Ihre Website kostenlos, um zu sehen, wohin in der Welt Sie Daten senden<\/a><\/p>\n\n\n\n Sobald Sie einen \u00dcberblick dar\u00fcber haben, wohin in der Welt Ihre Website pers\u00f6nliche Daten sendet, empfiehlt der zweite Schritt<\/strong> in den EDPB-Empfehlungen, sicherzustellen, dass Sie den richtigen \u00dcbertragungsmechanismus<\/strong> verwenden.<\/p>\n\n\n\n Wenn Ihre Website personenbezogene Daten in L\u00e4nder mit einem entsprechenden EU-Abkommen 'EU adequacy agreement<\/strong>' (z.B. Japan) sendet, brauchen Sie keine weiteren Schritte bez\u00fcglich dieser Datentransfers zu unternehmen.<\/p>\n\n\n\n Sollte Ihre Website aber auch personenbezogene Daten in L\u00e4nder ohne ein Angemessenheitsabkommen mit der EU<\/strong> (z.B. die Vereinigten Staaten) senden, m\u00fcssen Sie sicherstellen, dass Ihre Website eines der in Artikel 46 der DSGVO <\/a>aufgef\u00fchrten \u00dcbertragungsinstrumente verwendet.<\/p>\n\n\n\n Und bedenken Sie, dass Sie immer die Zustimmung Ihrer Endbenutzer ben\u00f6tigen, bevor Sie pers\u00f6nliche Daten sammeln oder verarbeiten \u2013 auch wenn Sie diese nicht<\/strong> in L\u00e4nder au\u00dferhalb der EU senden.<\/p>\n\n\n\n Scannen Sie Ihre Website kostenlos, um zu sehen, welche Cookies pers\u00f6nliche Daten von Benutzern tracken<\/a><\/p>\n\n\n\n Die Beurteilung, ob ein Land \u00fcber Gesetze oder Datenschutzpraktiken verf\u00fcgt, die ein gleichwertiges Datenschutzniveau<\/strong> f\u00fcr die Nutzer Ihrer Website und deren pers\u00f6nliche Daten garantieren k\u00f6nnen<\/strong> wie in der EU, ist der dritte Schritt im Leitfaden der EDPB-Empfehlungen.<\/p>\n\n\n\n Dieser Schritt mag etwas schwierig erscheinen \u2013 vielleicht sind Sie mit dem US-Datenschutzrecht nicht sehr vertraut?<\/p>\n\n\n\n Hier k\u00f6nnen Ihnen die 'EU Essential Guarantees' des EDPB bei der Bestimmung des Datenschutzniveaus eines Landes helfen.<\/p>\n\n\n\n Die 'EU Essential Guarantees'<\/a> k\u00f6nnen Ihnen helfen, einen \u00dcberblick dar\u00fcber zu erhalten, wie Sie eine solche Bewertung der L\u00e4nder vornehmen k\u00f6nnen, an die Ihre Website Daten sendet, z.B. ob \u2013<\/p>\n\n\n\n Werfen Sie auch einen Blick in Anhang 3, Seite 47 der aktualisierten EDPB-Empfehlungen f\u00fcr m\u00f6gliche Informationsquellen zur Bewertung eines Drittlandes.<\/a><\/p>\n\n\n\n Scannen Sie Ihre Website, um zu sehen, wohin in der Welt Sie Daten senden<\/a><\/p>\n\n\n\n Wenn Sie feststellen, dass Ihre Website personenbezogene Daten von Endnutzern z.B. in die USA sendet, die nicht als ein angemessenes Datenschutzniveau anerkannt sind, wird in Schritt vier<\/strong> der EDPB-Empfehlungen dargelegt, wie Sie zus\u00e4tzliche Sicherheit bei Ihren Daten\u00fcbertragungen gew\u00e4hrleisten k\u00f6nnen, damit diese den EU-Normen gleichwertig sind.<\/p>\n\n\n\n Diese zus\u00e4tzlichen Ma\u00dfnahmen in den EDPB-Empfehlungen umfassen \u2013<\/p>\n\n\n\n Diese erg\u00e4nzenden Ma\u00dfnahmen finden sich in Anhang 2 der EDPB-Empfehlungen (PDF in Englisch)<\/a><\/p>\n\n\n\n In den letzten beiden Schritten<\/strong> des EDPB-Empfehlungsleitfadens werden Sie aufgefordert, Ihre Daten\u00fcbertragungspraktiken zu dokumentieren und zu erl\u00e4utern, wie Sie einen angemessenen Schutz f\u00fcr die Endbenutzer Ihrer Website gew\u00e4hrleisten.<\/p>\n\n\n\n Sie werden auch dazu ermutigt, Ihre Datentransferpraktiken in angemessenen Abst\u00e4nden neu zu bewerten, um sicherzustellen, dass Sie immer \u00fcber die neuesten Entwicklungen in den L\u00e4ndern, an die Sie pers\u00f6nliche Daten senden, auf dem Laufenden sind.<\/p>\n\n\n\n Scannen Sie Ihre Website, um zu sehen, wohin in der Welt Sie Daten senden<\/a><\/p>\n\n\n\n Scannen Sie Ihre Website, um den vollst\u00e4ndigen \u00dcberblick und die Kontrolle \u00fcber alle Cookies und Tracker zu erhalten, die auf Ihrer Website in Betrieb sind.<\/p>\n\n\n\n Die weltweit f\u00fchrende Scan-Technologie von Cookiebot<\/a> erm\u00f6glicht es Ihnen, herauszufinden, welche Art von Daten Ihre Domain verarbeitet und wohin in der Welt die Daten gesendet werden.<\/p>\n\n\n\n Erhalten Sie einen kostenlosen Scan-Bericht von Cookiebot, der zeigt, in welche L\u00e4nder jedes Cookie auf Ihrer Website Benutzerdaten sendet und ob die L\u00e4nder von der EU als angemessenes Land betrachtet werden.<\/a><\/p>\n\n\n\n Mit Cookiebot<\/a> erhalten Sie vollst\u00e4ndige Transparenz<\/strong> \u00fcber die Datenstr\u00f6me Ihrer Website und volle Kontrolle<\/strong> \u00fcber Cookies von Drittanbietern wie Facebook und Google-Cookies aus den USA.<\/p>\n\n\n\n Die Consent Management-Plattform von Cookiebot<\/a> erm\u00f6glicht eine echte Zustimmung der Endbenutzer durch einen Cookie-Banner, der alle Tracker automatisch in vier leicht verst\u00e4ndliche Cookie-Kategorien gruppiert, die von den Endbenutzern in detaillierter Weise aktiviert und deaktiviert werden k\u00f6nnen, um eine g\u00fcltige Zustimmung gem\u00e4\u00df der DSGVO sicherzustellen.<\/p>\n\n\n\n Die Scan-Technologie von Cookiebot<\/a> findet alle Cookies und Tracker auf Ihrer Website und stellt genau fest, welche Arten von personenbezogenen Daten sie verarbeiten und wohin in der Welt sie Daten senden - so k\u00f6nnen Sie schnell vollst\u00e4ndige Einsicht in den Konformit\u00e4tsgrad Ihrer Domain und den Schutz der Endbenutzerdaten erhalten.<\/p>\n\n\n\n Die Consent Management-Plattform von Cookiebot<\/a> \u00fcbertr\u00e4gt dem Endbenutzer die volle Kontrolle und erm\u00f6glicht es ihm, eine granulare Einwilligung zu jedem spezifischen Datenverarbeitungszweck zu erteilen, wie es nach der DSGVO erforderlich ist, um den vollen Schutz personenbezogener Daten zu gew\u00e4hrleisten.<\/p>\n\n\n\n Cookiebot<\/a> ist vollst\u00e4ndig individualisierbar und erm\u00f6glicht es Ihrer Website, ihre Nutzer \u00fcber Ihre spezifischen Cookie- und Tracking-Einstellungen zu informieren, um einen ehrlichen und transparenten Dialog dar\u00fcber zu erm\u00f6glichen, welche Daten Sie wie, zu welchem Zweck verarbeiten und wohin in der Welt diese gesendet werden.<\/p>\n\n\n\n Scannen Sie Ihre Website kostenlos, um zu sehen, wohin in der Welt pers\u00f6nliche Daten gesendet werden.<\/a><\/p>\n\n\n\n Testen Sie Cookiebot 14 Tage kostenlos\u2026<\/a> oder f\u00fcr immer, wenn Sie eine kleine Website haben.<\/p>\n\n\n\n Erfahren Sie mehr im Artikel des Cookiebot-Supports \u00fcber das Versenden personenbezogener Daten in nicht-ad\u00e4quate L\u00e4nder.<\/a><\/p>\n\n\n\n Erfahren Sie mehr zu DSGVO und Cookie-Zustimmung.<\/a><\/p>\n\n\n\n Lesen Sie mehr zu CCPA-Konformit\u00e4t mit Cookiebot.<\/a><\/p>\n\n\n\n Benannt nach dem \u00f6sterreichischen Rechtsanwalt und Datenschutzaktivisten Max Schrems von NOYB<\/a> (kurz f\u00fcr \u201enone of your business\u201c dt. geht Dich nichts an), stellte der Fall Schrems II zwei der am h\u00e4ufigsten verwendeten Mechanismen f\u00fcr den Transfer personenbezogener Daten von der EU in die USA in Frage, n\u00e4mlich die Standardvertragsklauseln<\/a> (engl. Standard Contractual Clauses (SCC)) und das Privacy Shield Framework<\/a>.<\/p>\n\n\n\n Die Allgemeine Datenschutz-Grundverordnung (DSGVO)<\/a> der EU schreibt vor, dass ein Land \u00fcber ein angemessenes Datenschutzniveau<\/strong> verf\u00fcgen muss, bevor Daten aus der EU an dieses Land \u00fcbermittelt werden k\u00f6nnen. Angemessenheitsentscheidungen (engl. Adequacy Decisions) der EU-Kommission <\/a>entscheiden dar\u00fcber, ob personenbezogene Daten legal in ein Land au\u00dferhalb der EU \u00fcbermittelt werden k\u00f6nnen.<\/p>\n\n\n\n Die USA werden von der EU nicht als Land anerkannt<\/strong>, das \u00fcber ein angemessenes Datenschutzniveau verf\u00fcgt, aber mehrere Transfer-Mechanismen erm\u00f6glichen es kommerziellen Unternehmen und Organisationen in den USA, personenbezogene Daten aus der EU an die USA zu \u00fcbermitteln, wo diese dann gespeichert werden.<\/p>\n\n\n\n Dazu geh\u00f6ren die Standardvetragsklauseln (SVK), das Privacy Shield und die Binding Corporate Rules (BCR, dt. verbindliche Unternehmensregeln).<\/p>\n\n\n\n Der Fall Schrems II<\/strong> ging an den EuGH, nachdem Max Schrems 2015 die irische Datenschutzbeh\u00f6rde gebeten hatte, Facebook anzuordnen, seine Datentransfers von der EU in die USA auszusetzen.<\/p>\n\n\n\n Die Vorgehensweise von Facebook, personenbezogene Daten aus der EU \u00fcber ihre Server in Irland an den Hauptsitz in den USA zu \u00fcbermitteln, st\u00fctzt sich auf die Standardvertragsklauseln (SVK).<\/p>\n\n\n\n Der Fall Schrems II stellte jedoch die Rechtm\u00e4\u00dfigkeit dieses Systems in Frage und argumentierte, dass ein angemessenes Datenschutzniveau in der EU von Facebook nicht gew\u00e4hrleistet werden kann, da die US-Gesetze (wie FISA 702 und EO 12.333) eine Massen\u00fcberwachung vorschreiben. Dies steht in scharfem Gegensatz zum EU-Recht (wie der DSGVO), das einen starken Datenschutz vorschreibt.<\/p>\n\n\n\n Schrems' Antrag, Facebook-Datentransfers aus der EU in die USA zu verbieten, ging \u00fcber den Irish High Court an den EuGH, der nun elf Fragen<\/a> vorliegen hat, die sich alle damit befassen, ob und wie personenbezogene Daten von EU-B\u00fcrgern in den USA gesch\u00fctzt werden k\u00f6nnen unter Ber\u00fccksichtigung der grundlegend anderen Rechtslandschaft.<\/p>\n\n\n\n Das EuGH-Urteil im Fall Schrems II vom 16. Juli 2020 hat sich zum gro\u00dfen Teil auf die Seite von Max Schrems geschlagen, indem es den Privacy Shield als Mechanismus f\u00fcr die \u00dcbermittlung personenbezogener Daten zwischen der EU und den USA f\u00fcr ung\u00fcltig erkl\u00e4rte.<\/p>\n\n\n\n Ebenso hat das Urteil den f\u00fcr die Datenverarbeitung Verantwortlichen und den Datenschutzbeh\u00f6rden in jedem EU-Mitgliedstaat strenge Verpflichtungen auferlegt, einen angemessenen Schutz f\u00fcr die \u00dcbermittlung personenbezogener Daten bei der Verwendung von Standardvertragsklauseln (SVK) als Mechanismus zu gew\u00e4hrleisten.<\/p>\n\n\n\nDie EU-Standardvertragsklauseln 2021<\/h3>\n\n\n\n
\n
![\"Die](\"\/media\/4244\/image-1-schrems.jpeg?width=500&\")
\n
Der Europ\u00e4ische Datenschutzbeauftragte (EDSB) hat au\u00dferdem aktualisierte Empfehlungen f\u00fcr Daten\u00fcbermittlungen in L\u00e4nder au\u00dferhalb der EU<\/a> ver\u00f6ffentlicht, in denen Sie einen f\u00fcnfstufigen Leitfaden f\u00fcr die sichere \u00dcbermittlung personenbezogener Daten in ein Drittland (wie die USA) finden.<\/p>\n\n\n\n
Die aktualisierten Empfehlungen des EDSB inklusive des F\u00fcnf-Schritte-Leitfadens<\/a> (PDF in Englisch)
Die offizielle Pressemitteilung des EU-Gerichtshofs zum Schrems-II-Urteil<\/a> (PDF in Englisch)
EDSB-FAQ zum Schrems II Privacy Shield Fall<\/a> (PDF in Englisch)
Nutzen Sie Cookiebot CMP, um herauszufinden, wohin auf der Welt Sie Daten senden<\/a><\/p>\n\n\n\nEDPB-Empfehlungen f\u00fcr Datentransfers au\u00dferhalb der EU<\/h2>\n\n\n\n
Schritt 1 \u2013 wohin senden Sie Daten?<\/h3>\n\n\n\n
Schritt 2 \u2013 wie senden Sie Daten?<\/h3>\n\n\n\n
Schritt 3 \u2013 werden die Daten gesch\u00fctzt, nachdem Sie sie \u00fcbermittelt haben?<\/h3>\n\n\n\n
\n
![\"Sie](\"\/media\/4245\/image-2-schrems.jpeg?width=500&\")
<\/h3>\n\n\n\n
Schritt 4 \u2013 Anwendung zus\u00e4tzlicher Datentransferschutzma\u00dfnahmen<\/h3>\n\n\n\n
\n
Schritt 5 & 6 \u2013 Dokumentation und Neubewertung<\/h3>\n\n\n\n
Wohin sendet Ihre Website Daten?<\/h2>\n\n\n\n
Scannen Sie Ihre Website kostenlos mit Cookiebot<\/h3>\n\n\n\n
![\"Logo](\"\/media\/4344\/consent_de.png?width=500&\")
Vollst\u00e4ndige Transparenz<\/h3>\n\n\n\n
Vollst\u00e4ndige Konformit\u00e4t<\/h3>\n\n\n\n
Vollst\u00e4ndige Anpassbarkeit<\/h3>\n\n\n\n
Worum geht es im Fall Schrems II?<\/h2>\n\n\n\n
![\"In](\"\/media\/4246\/image-3-schrems.jpeg?width=500&\")
K\u00f6nnen die EU-Datenschutzstandards nach einem Transfer in die USA garantiert werden?<\/h3>\n\n\n\n