Sofern Du Marketingtools, wie Google Analytics oder Zählpixel benutzt, sind weitere Einwilligungen der Besucher:innen vorab einzuholen. Hier erfährst Du, wie das rechtskonform geschieht.
Oft kommen für Marketing- und andere Tools Anbieter aus Drittländern zum Einsatz. Drittländer sind alle Staaten außerhalb der EU. Natürlich sind die Anbieter aus den USA, wie Google, Amazon, Meta und Co. mit Lösungen für Unternehmen zur Reichweitenmessung oder der Verbesserung der Customer Journey in Webshops bei der Erstellung von Websites ganz vorn dabei. Zu beachten ist in diesen Fällen, dass bei einer Verarbeitung personenbezogener Daten in einem Drittland die Einhaltung des Datenschutzes besonders gewährleistet werden muss. Hintergrund ist der Gedanke des EU-Gesetzgebers, dass das Datenschutzniveau in EU-Europa höher ist als in anderen Staaten der Welt und daher die EU-Bürger:innen schutzbedürftiger sind, wenn Daten in Drittländer transferiert werden.
Angemessenheitsbeschlüsse
Für Länder, wie z.B. Schweiz, Kanada oder Israel hat die EU-Kommission ein angemessenes Datenschutzniveau festgestellt (sog. „Angemessenheitsbeschluss“). In diese Drittländer können Daten transferiert werden, ohne zusätzliche Maßnahmen ergreifen zu müssen. Anders sieht es z. B. bei den USA aus. Hier besteht diese Form der Anerkennung nicht mehr, auch wenn es Verhandlungen zwischen der EU und den USA gibt, ein neues Abkommen zum Datentransfer auszuhandeln.
Solange es dieses nicht gibt, muss für den Datenverkehr in die USA mit den sogenannten Standardvertragsklauseln (Standard Contractual Clauses, kurz SCC) gearbeitet werden. Dabei handelt es sich um Mustervorlagen für spezielle Datenschutzverträge. Es ist sozusagen ein Baukasten mit Vertragsklauseln, die je nach Konstellation der Beteiligten zusammengestellt werden können. So gibt es z.B. unterschiedliche Versionen für den Fall, dass ein US-Anbieter als sog. Auftragsverarbeiter agiert oder selbst bzw. gemeinsam mit euch datenschutzrechtlich verantwortlich ist.
In der Praxis ist es dann erforderlich, für die Nutzung der Dienste des jeweiligen Anbieters diese Standardvertragsklauseln in den Nutzerkonten auszuwählen, zu akzeptieren und herunterzuladen.
Bei den Tools der Firma Google Inc., wie z. B. Google Analytics, Tag Manager oder Ads, sind die neuen Datenverarbeitungsbedingungen in den Einstellungen eures Google Analytics-Accounts zu akzeptieren.
Allerdings sind die Standardvertragsklauseln allein nicht ausreichend. Zusätzlich zum Vertragstext muss eine Daten-Transfer-Folgenabschätzung (Transfer Impact Assessment, kurz TIA) erfolgen.
Gemeint ist damit, dass ihr als Verantwortliche der Datenverarbeitung zu überprüfen habt, ob die Zusagen, das adäquate Datenschutzniveau einzuhalten, auch tatsächlich vom Dienstleister in den USA erfüllt werden.
Wie umfangreich und tiefreichend die Prüfung erfolgen muss, hängt von dem verwendeten Dienst, der Art und Umfang seiner Verwendung, als auch den konkreten Risiken ab.
Seien wir ehrlich, niemand kann mit aller Sicherheit sagen, wann der Einsatz von US-Diensten, wie z.B. von Google, Facebook, Amazon oder Microsoft zulässig ist. Vor allem kleine Unternehmen oder Freiberufler:innen werden kaum entsprechende Kapazitäten haben, um die Prüfung selbst durchzuführen oder sie in Auftrag zu geben.
Allerdings wissen das auch die Aufsichtsbehörden, die deswegen eher keine strikten Verbote oder gar Bußgelder verhängen werden. Anders sieht es aus, wenn ihr nicht einmal die euch zumutbaren Maßnahmen ergriffen habt. Zu diesen Maßnahmen gehört die Anfrage der Standardvertragsklauseln und eine Daten-Transfer-Folgenabschätzung nach Mustern die z. B. auf der Webseite der Europäischen Kommission zu finden sind.
Und nun geht es weiter mit dem sogenannten “Verarbeitungsverzeichnis”: https://gumbrecht.org/das-verarbeitungsverzeichnis-bekomme-einen-ueberblick-ueber-die-daten-die-von-dir-verarbeitet-werden/