Nach dem Ende von Privacy Shield: Wie können amerikanische Internet-Dienste weiterhin genutzt werden?
Martin Steiger
Kategorie:in
Internet & Recht
Veröffentlicht am 13. Okt. 2020
Aktualisiert am 10. Sept. 2024
Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Datenschutzpartner AG / Steiger Legal AG
Google Analytics auf der Website, Newsletter-Versand mit Mailchimp, Video-Konferenzen mit Zoom: Wer sich im digitalen Raum bewegt, nutzt fast immer zahlreiche amerikanische Internet-Dienste.
Wer solche und andere Dienste im Internet nutzt, bearbeitet zwangsläufig Personendaten. Google Analytics erfährt zwangsläufig die IP-Adressen von Website-Besuchern. Mailchimp zum Beispiel kann keine Newsletter versenden, ohne die E-Mail-Adressen und damit Personendaten der E-Mail-Empfänger zu kennen. Zoom nimmt Bild- und Ton auf, damit sich die Teilnehmer einer Video-Konferenz sehen und hören können.
Inhalt
- Wichtigste Regel: Angemessener Datenschutz beim Daten-Export
- Angemessener Datenschutz: Mit welchen Staaten ist freier Datenverkehr möglich?
- USA: Welche Bedeutung hatte der Privacy Shield?
- Daten-Export: Wie funktioniert die Absicherung mit Standardvertragsklauseln?
- Absicherung: Was sind die Alternativen zu Standardvertragsklauseln?
- Daten-Export: Was gilt gemäss Datenschutz-Grundverordnung (DSGVO)?
- Schritt für Schritt: So kann der Daten-Export abgesichert werden
Wichtigste Regel: Angemessener Datenschutz beim Daten-Export
Bei der Bearbeitung von Personendaten muss (selbstverständlich) das anwendbare Datenschutzrecht eingehalten werden. In der Schweiz ist das Datenschutzgesetz (DSG) anwendbar, im Europäischen Wirtschaftsraum (EWR) einschliesslich der Europäischen Union (EU) sowie Island, Liechtenstein und Norwegen die Datenschutz-Grundverordnung (DSGVO).
Dabei kennen sowohl das schweizerische als auch das europäische Datenschutzrecht verschiedene Voraussetzungen, unter denen die Bearbeitung von Personendaten im Ausland erlaubt ist.
«Angemessener Schutz» bedeutet, dass die Grundsätze des schweizerischen DSG eingehalten werden, betroffene Personen ihre Rechte wirksam wahrnehmen können – unter anderem das Recht auf Auskunft – und dass vor Ort im Ausland eine unabhängige Datenschutz-Aufsichtsbehörde besteht.
Angemessener Datenschutz: Mit welchen Staaten ist freier Datenverkehr möglich?
Wer Daten exportiert, also beispielsweise einen Internet-Dienst im Ausland nutzt, muss prüfen, ob im betroffenen Ausland ein angemessener Datenschutz gewährleistet ist. Dabei kann man sich erst einmal auf die Staatenliste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) abstützen:
Gemäss der Staatenliste besteht insbesondere in folgenden Staaten ein angemessener Datenschutz:
- Europäischer Wirtschaftsraum (EWR)
- Grossbritannien
- Israel
- Kanada
- Neuseeland
Dadurch ist die Nutzung von Internet-Diensten und der sonstige Daten-Export in diese Staaten datenschutzrechtlich grundsätzlich unproblematisch, sofern auch ansonsten das Datenschutzrecht eingehalten wird.
Ungenügend hingegen ist der Datenschutz unter anderem in den USA, aber beispielsweise auch in Bosnien und Herzegowina, im Kosovo, in Montenegro, in Russland und in Serbien. Weitere Staaten mit ungenügendem Datenschutz sind China, Hongkong, Indien, Japan, Singapur, Südkorea, Taiwan, Thailand und die Vereinigten Arabischen Emirate.
Siehe auch: Datenübermittlung ins Ausland kurz erklärt (EDÖB)
USA: Welche Bedeutung hatte der Privacy Shield?
Mit dem Privacy Shield bestand für amerikanische Unternehmen die Möglichkeit, freiwillig einen angemessenen Datenschutz gegenüber Personen in Europa zu gewährleisten. Eine entsprechende Absprache bestand sowohl zwischen der EU und den USA als auch zwischen der Schweiz und den USA.
In der Privacy Shield Liste sind über 5’000 teilnehmende Unternehmen eingetragen.
Allerdings erklärte der Europäische Gerichtshof (EuGH), das höchste Gericht der EU, am 16. Juli 2020 mit Urteil C-311/18 «Schrems II» den EU-US-Privacy Shield per sofort für ungültig. In der Schweiz ist der Privacy Shield zwar weiterhin gültig, doch gelangte der EDÖB am 8. September 2020 ebenfalls zum Ergebnis, dass der Privacy Shield «kein adäquates Datenschutzniveau» biete.
Der EuGH stellte fest, dass betroffene Personen, die keine amerikanischen Staatsbürger sind, ihre Rechte gegenüber amerikanischen Behörden nicht wirksam wahrnehmen können. (Wie es darum in Europa steht, prüfte der EuGH nicht …)
Immerhin sehen sowohl das schweizerische als auch das europäische Datenschutzrecht vor, dass der Daten-Export in Staaten ohne angemessenen Datenschutz zulässig ist, sofern er wirksam abgesichert werden kann.
Wer Daten in solche Staaten exportieren möchte, muss prüfen, wie der Datenschutz auf eine andere Art und Weise gewährleistet werden kann. Bei den USA geht es in erster Linie um die Nutzung von Internet-Diensten, bei Staaten auf dem Balkan und in Osteuropa hingegen um das Outsourcing von Software-Entwicklung (sogenanntes Nearshoring).
Daten-Export: Wie funktioniert die Absicherung mit Standardvertragsklauseln?
Im Vordergrund stehen geeignete vertragliche Garantien, die einen angemessenen Schutz im Ausland gewährleisten (Art. 6 Abs. 2 lit. a DSG).
Damit verpflichtet sich der Daten-Importeur – zum Beispiel ein Auftragnehmer in Serbien oder ein Internet-Dienst in den USA –, einen angemessenen Datenschutz gemäss europäischem Standard zu gewährleisten.
Aus schweizerischer und europäischer Sicht sind insbesondere die Standardvertragsklauseln der Europäischen Kommission relevant.
Die Standardvertragsklauseln müssen aber nicht als eigener Vertrag vereinbart werden. Sie können in einen anderen Vertrag integriert werden. Auch können zusätzliche Vereinbarungen getroffen werden, die über die Standardvertragsklauseln hinausgehen.
Alternativ verweist der EDÖB auf den französischsprachigen Mustervertrag des Europarates sowie auf den eigenen englischsprachigen Mustervertrag («Swiss Transborder Data Flow Agreement»).
Der EDÖB und der EuGH hielten nach dem Ende von Privacy Shield ausdrücklich fest, dass Standardvertragsklauseln eine Möglichkeit bleiben, den Daten-Export abzusichern. Sie müssen allerdings wirksame Mechanismen enthalten, die in der Praxis gewährleisten, dass 1) tatsächlich ein angemessener Datenschutz besteht und 2) der Daten-Export ausgesetzt oder unterlassen wird, wenn gegen die vertraglichen Garantien verstossen wird oder ihre Einhaltung nicht gewährleistet ist.
Absicherung: Was sind die Alternativen zu Standardvertragsklauseln?
Es gibt Alternativen zu Standardvertragsklauseln. Dazu zählt insbesondere die aktive und ausdrückliche Einwilligung der betroffenen Personen im Einzelfall nach angemessener Information (Art. 6 Abs. 2 lit. b DSG).
Für eine solche Einwilligung könnte bei einer Website beispielsweise ein Cookie-Banner verwendet werden. Der Daten-Export dürfte (selbstverständlich) erst stattfinden, wenn die Einwilligung erteilt worden ist. Die Einwilligung müsste jederzeit widerrufen werden können. Die Einwilligung könnte nicht pauschal erfolgen, sondern müsste sich insbesondere auf bestimmte Zwecke und Empfänger beschränken.
Auch zulässig ist der Daten-Export im Zusammenhang mit dem Abschluss oder der Abwicklung von Verträgen (Art. 6 Abs. 2 lit. c DSG). Beispiele dafür sind internationaler Tourismus, internationale Transporte und internationaler Zahlungsverkehr.
Weitere Alternativen sind unter anderem die Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht (Art. 6 Abs. 2 lit. d DSG) und der Schutz von Leben oder körperlicher Integrität von betroffenen Personen (lit. e) sowie der Daten-Austausch innerhalb von internationalen Unternehmen (lit. g, sogenannte Binding Corporate Rules).
Ob solche Alternativen tauglich sind, muss im Einzelfall geprüft werden. Schweizer Banken scheiterten beispielsweise mehrheitlich beim Versuch, die Lieferung von Bankmitarbeiter-Daten an die USA mit der Ausübung von Rechtsansprüchen vor Gericht zu begründen.
Die Einwilligung im Einzelfall ist zwar denkbar, aber die Hürden, um eine rechtswirksame Einwilligung einzuholen, sind hoch. Weiter schreckt man mit dem Versuch, eine solche Einwilligung einzuholen, allenfalls (zu) viele Website-Besucher ab, genauso wie bereits mit einem (sonstigen) Cookie-Banner.
Siehe auch: Antworten der Europäischen Kommission auf häufig gestellte Fragen
Daten-Export: Was gilt gemäss Datenschutz-Grundverordnung (DSGVO)?
Die europäische DSGVO regelt den Daten-Export wesentlich genauer als das schweizerische DSG. In groben Zügen sind die Voraussetzungen aber gleich:
Wenn im betreffenden anderen Staat kein angemessener Datenschutz gewährleistet ist (Art. 45 DSGVO), muss der Daten-Export mit anderen Mitteln abgesichert werden, in erster Linie mit den Standardvertragsklauseln der Europäischen Kommission (Art. 46 ff. DSGVO). Schliesslich müssen die betroffenen Personen über den Daten-Export informiert werden, was üblicherweise im Rahmen der sowieso erforderlichen Datenschutzerklärung geschieht (Art. 13 u. 14 Abs. 1 lit. f DSGVO).
Die Liste der Staaten, in denen die Europäische Kommission von einem angemessenen Datenschutz ausgeht, ist mit jener der Schweiz weitgehend identisch. Der wesentliche Unterschied liegt darin, dass für Japan zusätzlich ein Angemessenheitsbeschluss der Europäischen Union besteht. Der Datenschutz in Südkorea könnte in Kürze von der Europäische Kommission als angemessen anerkannt werden.
In der Folge müssen sie die DSGVO zumindest teilweise einhalten, häufig aufgrund von vertraglichen Vereinbarungen sogar vollständig.
Siehe auch: Wann gilt die DSGVO / GDPR in der Schweiz und anderswo ausserhalb der EU? (Steiger Legal)
Schritt für Schritt: So kann der Daten-Export abgesichert werden
Nachfolgend zeige ich anhand von fünf Schritten am Beispiel von Zoom, wie der Daten-Export abgesichert werden kann. Spätestens aufgrund der COVID-19-Pandemie dürfte Zoom als Internet-Dienste für Video-Konferenzen inzwischen allgemein bekannt sein.
Schritt 1: Werden Daten in ein Land ohne angemessenen Datenschutz exportiert?
Bei Zoom ist die Antwort einfach, denn es handelt sich bekanntlich um einen amerikanischen Dienst. Und wir wissen bereits, dass die Gesetzgebung in den USA keinen angemessenen Datenschutz gewährleistet.
Im Zweifelsfall findet man Angaben zu Herkunft und Sitz von Internet-Diensten im Impressum und in der Datenschutzerklärung sowie in den Angaben zur Auftragsverarbeitung. Letztere sind wichtig, weil viele Anbieter von Internet-Diensten in der Schweiz und im EWR ebenfalls Daten exportieren, weil sie selbst Dienste im Ausland nutzen.
Es genügt beispielsweise nicht, dass ein amerikanischer Internet-Dienst für Europa durch eine Tochtergesellschaft in Irland angeboten wird oder die Daten in erster Linie im «Datacenter in Frankfurt» liegen, wenn die Daten dann doch in den USA bearbeitet werden.
Im Zweifelsfall muss man einzeln beim jeweiligen Datenschutzbeauftragten oder – falls nicht vorhanden – beim Support nachfragen.
Bei Zoom findet man den Einstieg über die Seite Datenschutz und Sicherheit für Zoom Video Communications». Dort wird unter anderem auf die Datenschutzerklärung verlinkt.
Die Liste der Unterauftragsverarbeiter führt Zoom auf der Seite «Subprozessoren». Der Liste kann man beispielsweise entnehmen, dass Zoom unter anderem Unterauftragsverarbeiter in Malaysia und auf den Philippinen einsetzt. Wer prüfen möchte, wie auskunftsfreudig Zoom ist, fragt per E-Mail an privacy@zoom.us nach, wie Zoom den Daten-Export in diese Staaten ohne angemessenen Datenschutz absichert.
Schritt 2: Wie kann der Daten-Export abgesichert werden?
Bei Internet-Diensten stehen wie erwähnt Standardvertragsklauseln im Vordergrund. Bei einem Internet-Dienst wie Zoom käme auch die Einwilligung im Einzelfall in Frage, weil es möglich ist, von den Teilnehmern von Video-Konferenzen eine solche Einwilligung einzuholen.
In vielen Fällen ist das vorgängige Einholen einer Einwilligung aber nicht realistisch oder wünschenswert. Wer beispielsweise Google Workspace (ehemals G-Suite) oder Microsoft 365 nutzt, wird schwerlich alle betroffenen Personen um ihre Einwilligung bitten können. Auch wäre es anspruchsvoll, mit dem Widerruf einer solchen Einwilligung umzugehen.
Das gilt auch für Zoom, wo man in der Datenschutzerklärung im Abschnitt «Internationale Transfers» einen ersten entsprechenden Hinweis findet. Der Auftragsverarbeitungsvertrag («Global Data Processing Addendum») von Zoom enthält dann entsprechende Bestimmungen.
In Bezug auf die USA müssen bestehende Standardvertragsklauseln zum Teil ergänzt werden, um zusätzliche Garantien zum Schutz vor amerikanischer Massenüberwachung zu schaffen.
Geprüft werden sollte immer auch, ob das Datenschutzrecht im Allgemeinen eingehalten wird. So kann man mit einem Blick auf die Datenschutzerklärung prüfen, ob ein Internet-Dienst, der behauptet, die DSGVO einzuhalten, über die erforderliche EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO verfügt. Zoom nennt in der Datenschutzerklärung einen «EU Representative» in Irland, womit die DSGVO in diesem Punkt erfüllt wird.
Aber Vorsicht, viele Internet-Dienste nutzen wie erwähnt Unterauftragsvearbeiter in den USA und in anderen Staaten ohne angemessenen Datenschutz!
Je nach Internet-Dienst gibt es allerdings gar keine Alternative, die in Frage kommt. Gerade amerikanische Dienste sind deshalb häufig erfolgreich, weil sie funktional ihrer Konkurrenz in Europa und anderswo deutlich überlegen sind. Die einfache und zuverlässige Durchführung von Webinaren mit hunderten von Teilnehmern beispielsweise ist immer noch ein Alleinstellungsmerkmal von Zoom.
Schritt 3: Beruft sich der Internet-Dienst immer noch auf das Privacy Shield?
Einige amerikanische Internet-Dienste berufen sich immer noch auf das Privacy Shield. Wenn das der Fall ist, sollte der Internet-Dienste nicht mehr verwendet werden. Das Gleiche gilt, wenn ein Internet-Dienst nicht von sich aus seinen Kunden in Europa hilft, den Daten-Export abzusichern.
Zoom hatte beispielsweise in einem Blog-Eintrag vom 28. Juli 2020 auf das EuGH-Urteil reagiert und auf die vorhandenen Standardvertragsklauseln verwiesen.
Schritt 4: Wie gross ist das Risiko für betroffene Personen?
Standardvertragsklauseln haben einen entscheidenden Nachteil: Sie sind für die Behörden im Staat, wo ein Internet-Dienst sitzt, nicht verbindlich. Auch wenn beispielsweise Zoom im Rahmen von Standardvertragsklauseln geeignete vertragliche Garantien abgibt, werden sich amerikanische Behörden nicht daran halten.
Betroffene Personen sind jene Personen, deren Daten exportiert werden, bei Zoom beispielsweise bei der Durchführung von Video-Konferenzen. Es geht aber auch darum, mit welchen Überwachungsmassnahmen zu rechnen ist und welche Schutzmassnahmen ein Anbieter trifft.
Diese Risikoprüfung ist aufwendig, wenn man sie gründlich durchführt. Hilfreich sind beispielsweise die Empfehlungen der Non-Profit-Organisation noyb, welche das EuGH-Urteil gegen den Privacy Shield erwirkt hatte. nyob hat – umfangreiche! – Musterfragebögen veröffentlicht.
Bei Video-Konferenzen ist zwar mit Überwachungsmassnahmen zu rechnen, da es sich um einen Kommunikationskanal handelt, doch bei einem öffentlich ausgeschriebenen Webinar dürfte das Risiko für die betroffenen Personen gering sein. Hingegen sollten sich beispielsweise Personen in der Schweiz, die in ein Verfahren gegen Behörden in den USA verwickelt sind, nicht ohne weiteres über Zoom mit ihren Rechtsanwälten austauschen.
Das Risiko für die betroffenen Personen kann man teilweise selbst durch geeignete Einstellungen beschränken. So ist es bei Zoom möglich, die verwendeten Datacenter-Regionen zu beschränken und die Teilnahme im Browser ohne App zu fördern. Zoom ist daran, Ende-zu-Ende-Verschlüsselung für Video-Konferenzen einzuführen.
Leider ist die erforderliche Risikoprüfung für viele Laien und KMU kaum zu leisten. Es ist zu hoffen, dass Internet-Dienste – auch Zoom – in dieser Hinsicht ihre Unterstützung verbessern werden. Je mehr allgemeine Informationen ein Internet-Dienst von sich aus liefert, desto weniger Aufwand müssen einzelne Nutzer betreiben.
Die Prüfung kann je nach Einzelfall unterschiedlich ausfallen. Es ist deshalb nicht möglich, einen Internet-Dienst wie Zoom datenschutzrechtlich pauschal für zulässig (oder unzulässig) zu erklären. Auch besteht bei amerikanischen Diensten seit dem «Schrems II»-Urteil immer ein datenschutzrechtliches Risiko.
Schritt 5: Genügt die Absicherung oder muss eine Alternative gesucht werden?
Wenn die Prüfung insgesamt so ausfällt, dass ein angemessener Datenschutz gewährleistet ist, kann man den Internet-Dienst vorläufig als «abgesichert» betrachten und auf Zusehen hin nutzen.
Eine solche Prüfung sollte alle sechs bis zwölf Monate stattfinden, besser alle drei Monate. In vielen Fällen wird man den Internet-Dienst weiterhin nutzen können, aber zum Beispiel die Datenschutzerklärung anpassen müssen, weil sich einzelne Angaben geändert haben.
Es kann aber genauso sein, dass sich früher oder später ein Daten-Export in die USA und andere Staaten ohne angemessenen Datenschutz selbst mit Standardvertragsklauseln nicht mehr ausreichend absichern lässt. So stellt sich die Datenschutz-Aufsichtsbehörde in Baden-Württemberg bereits heute auf den Standpunkt, die Nutzung amerikanischer Internet-Dienste sei nur noch zulässig, wenn es keine zumutbare Alternative ohne Daten-Export-Problematik gäbe.
Wenn man aufgrund der Prüfung davon ausgeht, dass kein angemessener Datenschutz gewährleistet ist, sollte eine Alternative gemäss Schritt 2 gesucht werden.
Wer risikobereit ist, kann sich dafür entscheiden, den geprüften Internet-Dienst trotzdem zu nutzen. Gründe dafür können sein, dass der Internet-Dienst für die eigenen Aktivitäten sehr wichtig ist, während gleichzeitig das Risiko für Sanktionen durch Datenschutz-Aufsichtsbehörden gering erscheint. Ob ein solches Risiko eingegangen werden soll, muss im Einzelfall und in eigener Verantwortung entschieden werden.
In vielen Fällen wird man dieses Risiko nur zeitlich beschränkt eingehen wollen, zum Beispiel in der Hoffnung auf eine Nachfolge-Regelung für das Privacy Shield oder um in aller Ruhe nach einer akzeptablen Alternative suchen zu können.
Siehe auch: Privacy Shield ungültig: Was bedeutet das EuGH-Urteil für Unternehmen in der Schweiz? (Steiger Legal)
Hinweis: Der vorliegende Beitrag kann nur allgemeine Hinweise zu einem Einstieg in die Thematik geben. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.
Beteilige dich an der Diskussion
17 Kommentare
@Adrian Binggeli:
Bei Anbietern mit Sitz im Europäischen Wirtschaftsraum (EWR) darf man davon ausgehen, dass aus schweizerischer Sicht aufgrund der DSGVO sowie der lokalen Gesetzgebung ein angemessener Datenschutz gewährleistet ist.
Allein dadurch, dass man einen Anbieter mit Sitz im EWR beauftragt, hält man das Datenschutzrecht aber noch nicht ein. So benötigt man beispielsweise einen passenden Auftragsverarbeitungsvertrag (AVV) und muss darauf achten, dass kein indirekter Daten-Export in ein Land ohne angemessenen Datenschutz stattfindet.
Bei MailerLite fällt mir auf der Website beispielsweise auf, dass zahlreiche amerikanische Dienste integriert sind. Insofern wäre es sinnvoll, sich bei MailerLite zu erkundigen, welche Unterauftragsverarbeiter zum Einsatz kommen.
@Adrian Binggeli:
Inzwischen habe ich mir bei MailerLite im Data Processing Agreement (DPA) in Annex 3 die Liste der Unterauftragsverarbeiter angeschaut:
https://www.mailerlite.com/legal/data-processing-agreement
Es werden 13 Unterauftragsverarbeiter erwähnt. Lediglich zwei davon stammen nicht aus den USA. Insofern müsste man MailerLite nun fragen, wie der Daten-Export zu diesen Unterauftragsverarbeitern abgesichert wird …
Besten Dank – eine Frage in die Runde:
Gibt es eine europäische Alternative zu MailChimp?
@Urso:
Es gibt zahlreiche E-Mail- und Newsletter-Dienste mit Sitz in Europa. Allerdings ist man damit nicht automatisch auf der sicheren Seite. Und ob sie als «Alternativen» durchgehen, muss man selbst beurteilen.
Ich kenne viele Mailchimp-Nutzer, die eine Alternative in Europa suchten, aber dort nicht glücklich wurden. Je nach Newsletter-Inhalten und Newsletter-Empfängern kann man zum Ergebnis gelangen, dass das Risiko, Mailchimp in den USA zu nutzen, vertretbar ist.
“Für Analytics gewinnen Angebote auf Basis der freien Open Source-Software Matomo an Beliebtheit, weil sich diese datenschutzfreundlich konfigurieren lässt.”
Plant Cyon einen Beitrag oder eine Anleitung mit Hinweisen um Matomo entsprechend zu konfigurieren, so dass Laien den Cyon Nutzern ein Umstieg von Analytics zu Matomo einfach fällt?
@Thomas Winter:
Wenn man Matomo nicht selbst hosten und konfigurieren kann oder möchte, dann lohnt es sich, ein entsprechendes Angebot zu nutzen. Ein Beispiel aus der Schweiz ist Friendly Analytics: https://friendly.is/de/.
Wenn Sie Matomo selbst einrichten möchten, finden Sie unter https://matomo.org/privacy/ einen Einstieg in eine datensparsame Konfiguration. Man kann Matomo auch ohne Cookies nutzen und damit auf ein Cookie-Banner (für Matomo) verzichten.
Merci für Deinen Wunsch, Thomas. Wir nehmen das Thema gerne auf die Ideenliste.
Ist denn die Welt nicht schon kompliziert genug??!!
Aber dafür können SIE natürlich auch nichts, Herr Steiger. Jedenfalls danke ich Ihnen vielmals für die sehr interessanten Infos, die mir bei meinem eigenen Datenschutzkonzept wirklich nützlich waren (sind)!
Mit bestem Gruss
Norbert
@Norbert:
Merci!
Herzlichen Dank für diesen überaus hilfreichen Artikel, Die Formulierung “und dass vor Ort im Ausland eine unabhängige Datenschutz-Aufsichtsbehörde besteht” scheint in diesem Kontext missverständlich. Was gilt nun “vor Ort” (also in der Schweiz) oder “im Ausland”?
@Moritz Zimmer:
«Vor Ort» bezieht sich auf das jeweilige Ausland.
Generell interessanter Artikel. Aber Zoom finde ich jetzt aus Website-Sicht nicht so relevant.
Viel interessanter seist die Frage zu Diensten, die auf sehr vielen Sites in der Schweiz genutzt werden, wie Mailchimp, Google Maps/Analytics/Tag Manager/ReCaptcha etc.
@Marc Magnenat:
Zoom wurde als Beispiel verwendet, weil es inzwischen breite Verwendung findet. Die Grundsätze und Schritte sind aber immer gleich.
Die obigen Schritte können Sie deshalb genauso bei anderen amerikanischen und sonstigen ausländischen Anbietern durchführen, sofern das jeweilige Recht vor Ort keinen angemessenen Datenschutz gewährleistet.
Bei Datenschutzpartner verwendete ich kürzlich Mailchimp in einem Webinar als Beispiel:
https://www.datenschutzpartner.ch/2020/10/13/webinar-privacy-shield-20201013/ (Aufzeichnung und Folien für Kundinnen und Kunden)
Wenn Sie Google Analytics oder auch Facebook Pixel (weiterhin) nutzen möchten, werden Sie einiges an Fleissarbeit leisten müssen, und riskieren dabei, dass das Ergebnis negativ ausfällt. Sofern die entsprechenden Werbe-Möglichkeiten für Sie nicht wirtschaftlich derart wichtig sind, dass sich der Aufwand und das Risiko lohnen, dürfte es einfacher sein, auf Alternativen zu setzen. Für Analytics gewinnen Angebote auf Basis der freien Open Source-Software Matomo an Beliebtheit, weil sich diese datenschutzfreundlich konfigurieren lässt. Ein Beispiel aus der Schweiz ist Friendly Analytics: https://friendly.is/.
Vielen Dank für die ausführliche Antwort!
Mich würde es mal mehr interessieren, wie Deutsche Cyon nutzen können, ohne dabei Probleme zu bekommen. Überlege nämlich aktuell von Cyon umzuziehen, wegen der DSGVO und weil ich aus Deutschland stamme.
@Peter Stauda:
Die Europäische Kommission anerkennt, dass das Datenschutzrecht in der Schweiz einen angemessenen Schutz gewährt (Angemessenheitsbeschluss). Deutsche Nutzerinnen und Nutzer können aus diesem Grund ohne Standardvertragsklauseln oder vergleichbare zusätzliche Absicherungen personenbezogene Daten in die Schweiz exportieren, beispielsweise um sie durch Cyon im Auftrag für ein Hosting verarbeiten zu lassen.
Sie können auch einen Blick auf die Datenschutzerklärung von Cyon werfen, die Sie unter https://www.cyon.ch/legal/privacy finden. Wie Sie sehen, wird die DSGVO ausdrücklich erwähnt und Cyon verfügt über die erforderliche EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO.
Ausserdem ermöglicht Cyon, dass ein Auftragsverarbeitungsvertrag abgeschlossen wird. Die aktuelle Version finden Sie unter https://www.cyon.ch/files/legal/cyon_ADV_1.0.0.pdf.
Im Ergebnis sind Sie damit in Bezug auf die Schweiz im Allgemeinen grundsätzlich auf der sicheren Seite und verfügen in Bezug auf Cyon über verschiedene Hinweise, dass die DSGVO eingehalten wird.
Im Zweifelsfall sollten Sie diese Hinweise selbstverständlich kritisch prüfen und bei Bedarf mit gezielten Fragen an Cyon gelangen. Datenschutz lebt immer auch davon, dass Anbieter und Nutzer im Austausch stehen.
Ist Mailerlite aus Lithauen eine Möglichkeit die aus datenschutztechnischen Gründen für Schweizer eine alternative darstellt?