WP DSGVO + EuGH C-311/18 Schrems II

  • Plugin Author peterharlander

    (@peterharlander)


    4 years, 8 months ago

    Der EuGH hat am 16.7.2020 eine weitreichende Entscheidung getroffen. Das US-Privacy Shield wurde für ungültig erkl?rt. Auch Standardschutzklauseln sind de facto nicht mehr anwendbar. Damit sind die M?glichkeiten zur rechtskonformen Nutzung von US-Diensten stark eingeschr?nkt.

    Die gute Nachricht: wir müssen unsere Tools WP DSGVO und legalweb Cloud nur minimal adaptieren, um unsere Nutzern die weitere Nutzung der meisten US-Dienste auf einer anderen Rechtsgrundlage weiterhin zu erm?glichen.

    Webinar zum Thema: Fragen zu diesem Thema beantworten wir gerne am Mittwoch, den 23.7.2020 um 16:00 Uhr in unserem Webinar.

    Wie ist das m?glich?

    Die DSGVO bietet mehrere Rechtsgrundlagen zum Datenexport in Drittstaaten (also Staaten au?erhalb der EU). Die einfachste M?glichkeit ist ein Angemessenheitsbeschluss. Einen Angemessenheitsbeschluss gibt es nur für wenige Drittstaaten. Die entsprechende Regelung für die USA wurde heute aufgehoben. Eine ebenfalls noch halbwegs einfache M?glichkeit sind Standardschutzklauseln. Auch diese sind für US-Dienste seit heute de facto nicht mehr nutzbar. Theoretisch w?ren auch unternehmensinterne Datenschutzregeln denkbar. Praktisch ist dies für die USA seit heute auch nicht mehr m?glich.

    In diesem Fall bleibt nur noch eine L?sung: die individuelle Einwilligung der betroffenen Person:

    Artikel 49 DSGVO
    Ausnahmen für bestimmte F?lle

    (1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschlie?lich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine übermittlung oder eine Reihe von übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zul?ssig:

    a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden m?glichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde

    Die Einholung der Einwilligung ist grunds?tzlich sehr anspruchsvoll. Nicht für uns. Nun macht es sich bezahlt, dass wir unsere Tools schon immer an den strengen Anforderungen der Gerichte und Beh?rden orientiert haben. Unser Tools ben?tigt nur einen kleinen Umbau. Diesen werden wir bis sp?testens im Lauf des Montags, den 20.07.2020 fertigstellen.

    Damit k?nnen alle US-Dienste, bei denen die Einholung einer Einwilligung vor der Ausführung technisch m?glich ist, weiterhin genutzt werden. Dies betrifft z.B. Analyse- und Retargeting-Dienste.

    Dienste wie Hosting, CDN oder Fonts profitieren davon logischerweise nicht. Es ist schlicht unm?glich, den Webhost erst nach Zustimmung des Users aufzudrehen. Wer seine Website auf US-Infrastruktur betreibt, sollte daher umgehend einen Wechsel auf einen EU-Dienst andenken.

    Wie sicher ist das?

    Unsere L?sung hebt sich schon rein optisch von anderen L?sungen ab. Andere bieten in der Regel nur Kategorien zur Auswahl, wir führen alle Dienste samt Betreiber und Sitzstaat an. Das wirkt unsexy. Wissen wir.

    Wir machen das nicht Grund. Unsere Tools sind so gebaut, dass jede uns bekannte Anforderung eines Gerichtes oder einer Datenschutzbeh?rde in ?sterreich und in Deutschland erfüllt wird. Das macht sich nun bezahlt.

    Die Umstellung der Rechtsgrundlage vom Privacy Shield auf die Einwilligung des Users ist bei unseren Tools einfach realisierbar. Dennoch bleibt natürlich ein Restrisiko. Es gibt schlicht noch keine verbindliche Entscheidung einer Datenschutzbeh?rde oder des EuGH, wie ein rechtskonformes Tool konkret auszusehen hat. Wir gehen aber davon aus, dass dies am Ende so sein wird, wie es die Beh?rden jetzt schon fordern und woran wir uns jetzt schon halten.

    LG Peter

Viewing 4 replies - 1 through 4 (of 4 total)

  • Hallo Peter,
    das klingt wirklich plausibel, allerdings habt Ihr es aktuell so gel?st, dass Ihr einen Button “Auswahl akzeptieren” unter den Diensten aktiv habt, den man klicken kann, ohne in den einzelnen Diensten das Nein auf Ja zu setzen.

    Weil Ihr von ALLLEN Anbietern die Einzigen seid, die es so handhaben, dass man in einzeln aufgeführte Dienste jeweils ein Nein zu einem Ja aktiv ?ndern muss, entspricht das nicht der gewohnten Usability.
    Meine Beobachtung best?tigt, was ich auch selbst schon zigmal so gemacht, habe ohne genau hinzuschauen: einfach Auswahl best?tigen gedrückt.

    Wenn ich es richtig verstehe, habe ich aber somit alles bei Eurem Plugin abgelehnt, auch wenn ich vermeintlich dachte, die notwendigen vorausgew?hlten Plugins zu best?tigen.

    Das w?re für meinen Kunden, der mit seinem Webshop um die Existenz k?mpft, fatal. Er braucht die Googleeinbindung für das Remarketing, um den Webshop erfolgreich betreiben zu k?nnen. Denn nur durch dieses sind die Adwordskampagnen rechenbar.
    Ich habe mir daraufhin mal ALLE bekannten Konkurrenten des Kunden angesehen – diese haben ALLE eine andere L?sung, in der auf einfachere Art eine Empfohlene Vorauswahl aktiv best?tigt werden kann und alternativ k?nnen individuelle Einstellungen vorgenommen oder abgelehnt werden. Weiterhin ich mir die Top 100 Shops in Deutschland angesehen. Nur einer oder zwei macht es in der Usability ?hnlich (aber immer noch leichter) wie Ihr .. alle anderen machen es deutlich leichter zuzustimmen, w?hrend Euer Plugin geradezu dazu verleitet, sogar ausversehen abzulehnen. Das ist schade, weil Ihr eine tolle L?sung habt. Es ist aller Ehren wert, dass Ihr es 100%ig RICHTIG macht, um den Nutzern Rechtssicherheit zu geben, aber es w?re sch?n, wenn Ihr den Nutzern Eures Plugins zumindest selbst die Option anbieten würdet, auch einen Kompromiss zu nutzen, der in etwa dem entspricht, was im Grunde s?mtliche Rechtsabteilungen der wirklich gro?en Anbieter in Deutschland als akzeptabel erachten.

    Meines Erachtens, wird die Rechtsprechung uns als Onlinebusiness Betreibern ein wenig entgegenkommen müssen, es wird hier doch sehr über das Ziel hinausgeschossen. Bei kleineren Kunden merke ich, dass die ziemlich überfordert sind und der im Grunde genommen ausufernde Aufwand hinsichtlich DSGVO für manche je nach Branche existenzgef?hrdend ist. Aber das ist eine andere Diskussion …

    Plugin Author peterharlander

    (@peterharlander)

    Die notwendigen Dienste sind NICHT einwilligungspflichtig, müssen daher auch nicht in das Popup. Wir raten auch dringend davon ab, diese ins Popup zu geben.

    Button “Alles akzeptieren”: Startet alle Dienste, auch die notwendigen.
    Button: “Nichts akzeptieren”: Startet keinen Dienst, au?er die notwendigen.
    Button: “Auswahl akzeptieren”: Startet die ausgew?hlten Dienste und die notwendigen.

    Eine Vorauswahl darf nicht getroffen werden. Vorankreuzen ist illegal und führt zu keiner rechtskonformen Einwilligung. Einziger Workaround: “Alles akzeptieren” Button. Der ist zul?ssig, wenn “nichts akzeptieren” genauso einfach m?glich ist, was bei uns der Fall ist.

    Plugin Author peterharlander

    (@peterharlander)

    Die Rechtsabteilungen der TOP 100 haben auch keine Einwilligung als akzeptabel erachtet, weil es halt wirtschaftlich superlukrativ war …

    Wenn alles akzeptieren oder ablehnen ein Workarround ist, w?re ich pers?nlich sehr glücklich mit dieser Option – ohne die komplizierte Einblendung aller einzelnen Dienste auf der ersten Ebene. Damit forciert man natürlich die Ablehnungen. Shopbetreiber haben ja eher das Interesse Dienste einzusetzen. Für viele Shopbetreiber geht es schlicht um die Existenz in Konkurrenz zu Amazon.

    Meines Erachtens ist das bei Bild.de plausibel gel?st. Spricht etwas gegen eine Variante in der klar gesagt wird, was passiert und dann mit den Optionen zu arbeiten die eben alles erlauben alles verbieten preferiert und den Rest über die Einstellungen managt?

Viewing 4 replies - 1 through 4 (of 4 total)
  • The topic ‘WP DSGVO + EuGH C-311/18 Schrems II’ is closed to new replies.