Knowledge Base

EU-US Privacy Shield

Nach der DSGVO sind personenbezogene Daten im europäischen Raum geschützt. Doch wie sieht es aus, wenn diese Daten Europa verlassen? Besonders im Zusammenspiel mit den USA ist das eine knifflige Angelegenheit. Die „EU-US Privacy Shield“-Abmachung soll das in Zukunft regeln.

Was ist der EU-US Privacy Shield?

Wie bereits gesagt: Innerhalb der EU sind personenbezogene Daten geschützt. Verlassen diese Daten jedoch den europäischen Raum, so kann der Schutz nicht mehr gewährleistet werden. Und nun kommt das große Problem: Dank der Struktur des Internets ist dieses Verlassen der Daten keine Seltenheit. Denn oftmals sitzen Server von großen E-Mail-Marketing-Unternehmen im außer-europäischen Ausland, insbesondere in den USA.

Laut Art. 44 sieht die DSGVO aber vor, dass Daten nur dann an Drittländer übermittelt werden dürfen, wenn diese über entsprechende Schutzvorrichtungen verfügen. Das Schutzniveau muss über einen gewissen Standard verfügen. Aus europäischer Sicht ist dieses Niveau in den USA nicht ausreichend gegeben. Allerdings gibt es ein Vorhaben, das dieses Schutzniveau steigert: So haben sich die US-amerikanische Regierung und die Europäische Kommission auf den sogenannten EU-US Privacy Shield geeinigt. Dieser löst das seit 2005 nicht mehr gültige „Safe Harbor“-Abkommen ab.

Bedeutung für E-Mail-Marketing

Damals im Jahr 2015 wurde beim Safe-Harbor-Abkommen bereits vom Europäischen Gerichtshof (EuGH) entschieden, dass personenbezogene Daten nicht übertragen werden dürfen. Ein ähnliches Bild scheint sich nun beim EU-US Privacy Shield abzuzeichnen. Es gibt zwar Sicherheitsvorkehrungen, um die Daten zu schützen, allerdings basieren manche davon nur auf schwammigen Zusagen seitens der USA. In den USA ist zwar offiziell untersagt, auf personenbezogene Daten aus Europa zuzugreifen, jedoch gibt es anscheinend manchmal „Ausnahmen“ von Geheimdiensten. Die US-Regierung hat sogar eine Ombudsstelle eingerichtet, wenn Verstöße registriert werden. Wie genau die Sanktionen bei einem Verstoß aussehen, ist nicht gänzlich geklärt.

Natürlich wächst damit die Verunsicherung mancher Online-Marketer. Wer bisher auf in den USA gehostete Marketing-Softwarelösungen gesetzt hat, läuft Gefahr, personenbezogene Daten ohne gültige Rechtsgrundlage zu übermitteln. Das kann soweit gehen, dass rechtliche Schritte eingeleitet werden – und das gilt es zu verhindern. Was also tun?

Aktuell gibt es für Werbetreibende drei Möglichkeiten, die Datenverarbeitung in den USA zu legalisieren:

  • Die Vereinbarung der sogenannten EU-Standardvertragsklauseln mit dem Anbieter.
  • Die Genehmigung sogenannter „Binding Corporate Rules“ durch die zuständige europäische Datenschutzbehörde. Laut DSGVO Art. 47 und Art. 46 Abs. 2 b) ist die „ein Beispiel für eine geeignete Garantie eines ausreichenden Datenschutzniveaus in einem Drittland.“
  • Die (explizite und dokumentierte) Einwilligung der „Betroffenen“, also derjenigen, deren Daten in die USA übermittelt werden sollen.

Alle drei Möglichkeiten bergen jedoch immer noch das Risiko, dass US-Behörden die Daten auf irgendeine Art nutzen, wie sie es eigentlich nicht sollten. Verantwortungsbewusste Werbetreibende werden es daher ohnehin vermeiden, ihre Daten der Gefahr eines Zugriffs durch US-Behörden auszusetzen.

Heimatverbunden

Der Einsatz von Marketing-Lösungen europäischer Anbieter ist daher die beste Alternative. Mit europäischen Cloud-Anbietern können Auftragsdatenverarbeitungs-Vereinbarungen (AV-Vereinbarungen) gemäß Art. 26 DSGVO abgeschlossen werden, sodass personenbezogene Daten beim Einsatz der Software nicht als im Rechtssinne an Dritte übermittelt gelten. Europäische und insbesondere deutsche Datenschutzstandards bieten Sicherheit für Werbetreibende und Umworbene. Stellen Sie daher bei der Suche nach einer passenden E-Mail-Marketing-Software sicher, dass deren Server in Europa, idealerweise sogar in Deutschland, gehostet sind.