Was war das EU-US Privacy shield überhaupt und warum wurde es demontiert?
Es war – stark verkürzt – eine Übereinkunft zwischen der EU und den USA, dass sich US-Unternehmen freiwillig der Europäischen DSGVO unterwerfen können. Die Einhaltung der EU-Regeln wurde lokal in USA überprüft, die teilnehmenden Unternehmen taxativ auf einer öffentlichen Liste geführt.
Das war für viele europäische UnternehmerInnen die Grundlage, dass überhaupt personenbezogene Daten an US-Unternehmen im Rahmen von Online Marketing Maßnahmen transferiert werden durften. Dieser Datentransfer passiert in vielen Fällen ohne Zutun des Seitenbetreibers bei jedem einzelnen Klick, wie auch zum Beispiel bei einer Firmenseite auf Facebok.
Der Nachteil – die Nationale Sicherheit geht in den USA natürlich vor Datenschutz. Bundesbehörden wie NSA oder FBI haben also nach den US-Überwachungsgesetzen Zugriff auf alle diese europäischen Daten, wenn sie auf US-Servern abgelegt sind. Das Privacy Shield war also bis zu seiner Demontage durch den EuGH auch ein Zugeständnis der EU an die USA, um auch den europäischen Unternehmern die Geschäfte mit den Internet Giganten in USA zu ermöglichen.

Ist Datentransfer nach USA jetzt nicht mehr legal möglich?
Doch natürlich ist das weiterhin legal möglich, nur eben nicht mehr auf Basis des EU-US Privacy Shields. Jetzt braucht es eine bilaterale Vereinbarung zwischen dem US-Unternehmen und dem EU-Unternehmen entsprechend den sogenannten Standardvertragsklauseln, die den DSGVO konformen Umgang mit den Daten garantieren soll. Ausnahmen, wie zum Beispiel die ausdrückliche Einwilligung des Betroffenen, können in dem Zusammenhang vernachlässigt werden. Eine solche Vereinbarung darf aber nur dann getroffen werden, wenn sie auch nachvollziehbar eingehalten wird, was im Falle von Facebook oder Google nicht möglich ist, da diese auch den US-Überwachungsgesetzen (FISA) verpflichtet sind. Dort ist es also derzeit nicht legal möglich.

Was bedeutet das jetzt in der Praxis?
Am Beispiel Facebook sind die Auswirkungen des Urteils erkennbar. Schon am 5. Juni 2018 hat der EuGH entschieden, dass Fanpagepage-Betreiber für Datenschutzverstöße vor allem beim Tracking auf Facebook (Insights) mitverantwortlich sind. Die Lösung des Problems war eine Datenschutzerklärung auf der Facebook Fanpage, mit einem Verweis auf das EU-US Privacy Shield.
Das reicht jetzt nicht mehr. Jetzt bräuchte es eine Vereinbarung mit Facebook, in der alle unberechtigten Zugriffe, also auch die durch US-Bundesbehörden untersagt werden. Laut EuGH reichen dazu die Standardvertragsklauseln. Diese kann aber Facebook eigentlich gar nicht zusagen, weil es auch den US-Überwachungsgesetzen (FISA) verpflichtet ist. In letzter Konsequenz ist damit aber die geschäftliche Nutzung dieser Plattform derzeit de facto illegal geworden.

Ist das nur ein Facebook Problem?
Sinngemäß (bisher aber ohne Urteil) kann man das natürlich auch auf andere Social Media, Mailing und Marketing Platformen der großen US Internet Konzerne umlegen, wo ebenfalls Daten an Drittländer, jetzt ohne Rechtsgrundlagen, weitergegeben werden. Das betrifft also auch Tracking Dienste außerhalb der Social Media wie z.B. Google, die mit Cookies bewerkstelligt werden. Damit bekommt das ohnehin heikle Cookie Handling eine zusätzliche Komponente der unerlaubten Datenübermittlung an Drittländer. Bis es die ersten Urteile aus der Abmahn-Industrie oder aber weitere Vorstöße von Datenschützern gibt, steht die geschäftliche Nutzung der meisten Online Marketing Tools der großen US-Anbieter für europäische Unternehmen also auf dünnem Eis. EU-Anbieter gibt es in diesem Bereich derzeit nur wenige. Die Hoffnung bleibt, dass es dennoch bald Entscheidungen und Vereinbarungen geben wird, die den UnternehmerInnen in der EU wieder etwas mehr Rechtssicherheit beim Datenschutz im Umgang mit US-Unternehmen geben können.