UPDATE 15.01.2022: Zur Klarstellung hier zwei Ergänzungen zu dem Bescheid der DSB und diesen Blog-Artikel:
- In diesem Fall wurde Google Analytics fehlerhaft implementiert. Der Punkt war also nicht, dass Google Analytics niemals datenschutz-konform eingesetzt werden kann.
- In unserem Blog-Artikel ging es vielmehr um einen wichtigen Nebenaspekt, nämlich die Entscheidung der DSB, dass die Standardvertragsklausel keine ausreichende Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA bieten würden. Hier ein Zitat aus dem Bescheid: „Wenn nun aber bereits der EU-US Angemessenheitsbeschluss aufgrund der Rechtslage in den USA für ungültig erklärt wurde, so kann fallbezogen nicht davon ausgegangen werden, dass der (bloße) Abschluss von SDK [Standarddatenschutzklauseln, Anm. d.Verf.] ein angemessenes Schutzniveau nach Art. 44 DSGVO für die gegenständliche Datenübermittlung gewährleistet.“ (Seite 35, E-DSB – Google Analytics_DE_bk_0.pdf)
Die österr. Datenschutzbehörde hat eine aufsehenerregende Entscheidung veröffentlicht, die auch Auswirkungen auf E-Mail Marketing zeigen wird. Das gilt vor allem für Unternehmen, die noch immer amerikanische Dienstleister für E-Mail Marketing einsetzen. Doch der Reihe nach.
Kurzer Hintergrund: Einsatz von amerik. Dienstleistern
Nachdem der EuGH das Privacy Shield Abkommen zwischen der EU und den USA für unzulässig erklärt hat, war vielen Datenschützern klar, dass amerikanische Dienstleister wie Mailchimp für europäische Unternehmen nicht legal möglich ist. Weitere Informationen zum Hintergrund können Sie in unserem Artikel „Das Ende von Privacy Shield und die Folgen für E-Mail Marketing“ nachlesen.
Nun haben aber einige amerikanische Dienstleister ihre Kunden beschwichtigt: Mit den sog. Standardvertragsklauseln gäbe es für die Übermittlung der personenbezogenen Daten eine ausreichende Rechtsgrundlage – trotz des EuGH Urteils (wir haben das übrigens immer schon verneint). Und damit wäre alles in bester Ordnung.
Im Vertrauen darauf fühlten sich viele Unternehmen sicher und blieben beim Status Quo. Ein Fehler, wie sich nun zeigt.
Das Urteil: Google Analytics und Standardvertragsklauseln
Die Datenschutz-NGO noyb hat gegen 101 Unternehmen Klage eingereicht, u.a. weil diese Google Analytics auf deren Website eingesetzt haben (wir haben darüber berichtet: „101 Beschwerden nach dem Ende von Privacy Shield“).
Nun liegt eine offizielle Entscheidung der österr. Datenschutzbehörde in einem dieser Fälle vor: Der Einsatz von Google Analytics war in diesem Fall unzulässig. Die Standardvertragsklauseln, auf die man sich in der Argumentation berufen hatte, würden keinen ausreichenden Schutz bieten. Und damit gibt es keine Rechtsgrundlage für die Datenübermittlung.
Mehr dazu können Sie auf der Website von noyb nachlesen: „EU-US Datenübermittlung an Google Analytics illegal“.
Konsequenzen für E-Mail Marketing
Das Urteil betraf Google Analytics. Doch die Begründung der Datenschutzbehörde hat eine direkte Konsequenz für Email Marketing.
Denn es ist nun amtlich, dass die Standardvertragsklauseln keine ausreichende Rechtsgrundlage bieten. Das gilt wohl logischerweise auch für amerikanische Newsletter-Dienstleister, weil hier genauso personenbezogene Daten an einen amerikanischen Anbieter übermittelt werden.
So meint etwa Max Schrems, Chef von noyb: „Die Quintessenz ist: EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen.“
Wir dürfen dazu auf einen unser Artikel verweisen: „Ende von Privacy Shield: Was sind die Handlungs-Optionen?“
„Die Quintessenz ist: EU-Unternehmen können keine US-Cloud-Dienste mehr nutzen.“
Max Schrems, Chef von noyb
Was sollten Sie jetzt tun?
Ganz einfach: Wechseln. Wenn Sie einen amerikanischen Dienstleister einsetzen, suchen Sie sich einen europäischen Anbieter. Es gibt ja in diesem Bereich wirklich genügend gute Anbieter!
Wichtig ist dabei nur, dass der europäische Anbieter auch keinen amerikanischen Sub-Dienstleister einsetzt (klassisches Beispiel: AWS Amazon Web Services).
Tipp in eigener Sache: Zur Anbieter-Auswahl haben wir ein Webinar veranstaltet, dessen Aufzeichnung Sie sich kostenlos ansehen können. Es gibt außerdem zwei Artikel, die für Sie interessant sein könnten: „Datenschutz-Kriterien für die Anbieter-Auswahl“ und „Tipps für die Anbieter-Auswahl“.
Und natürlich gilt: Wir helfen Ihnen bei der Anbieter-Auswahl – fragen Sie uns einfach!
Über den Autor
Michael Kornfeld ist mit einer über 25-jährigen Laufbahn ein leidenschaftlicher Verfechter von E-Mail-Marketing. Er hält zahlreiche Seminare und Fachvorträge und zählt zu den renommiertesten Experten Österreichs auf diesem Gebiet.