Posted on Schreib einen Kommentar

EU-US Privacy Shield und DSGVO – Facebook, Whatsapp, Twitter, Google

EU-US Privacy Shield und DSGVO - Facebook, Whatsapp, Twitter, Google

Vielen Nutzern stellt sich die Frage, welche Webdienste gerade im geschäftlichen Umfeld nach den Vorgaben der DSGVO bedenkenlos genutzt werden können. Es geisterten auch schon einige Meldungen durch die Medien, u. a. dass die Nutzung von Whatsapp für Handwerkerfotos nicht mehr möglich ist. Welche Bedeutung hat die “EU-US Privacy Shield”-Zertifizierung?

EU-US Privacy Shield

Da ein Großteil des genutzten Internets immer noch durch amerikanische Firmen bestimmt wird, spielt hier die nicht unumstrittene “EU-US Privacy Shield”-Zertifizierung eine wichtige Rolle. Nach dem Bruch des “Safe-Harbor Abkommens” (heise.de berichtete) stellt diese eine Orientierung bereit um zu entscheiden, ob Dienste von Unternehmen aus nicht EU-Ländern in Europa genutzt werden dürfen. Die Unternehmen in dieser Liste haben sich zertifizieren lassen und sich damit verpflichtet die Grundsätze des europäischen Datenschutzrechts zu befolgen. Google, Facebook, Twitter, Microsoft und auch Whatsapp finden sich in der Liste der zertifizierten Unternehmen auf https://www.privacyshield.gov/list. Apple findet sich übrigens nicht in der Liste.

AV-Vereinbarung

Spätestens seit dem Urteil in Sachen Facebook wurde klar gestellt, dass eine sogenannte “gemeinsame Verantwortung” des Nutzers zusammen mit dem Anbieter des Webdienstes in Sachen personenbezogene Daten vorliegt. Gerade vor diesem Hintergrund ist allerdings wichtig, dass bei nicht privater Nutzung, also auch z. B. im Verein, eine entsprechende AV-Vereinbarung als organisatorische Maßnahme mit dem jeweiligen Anbieter  zustande kommt.

Rechtliche Position

Wie wackelig der rechtliche Bezug auf die EU-US Privacy Shield Zertifizierung ist, zeigt sich bei Whatsapp. Whatsapp ist zertifiziert, scheidet aber für die Nutzung im nicht privaten Umfeld aus, da ohne Einwilligung des Nutzers personenbezogene Daten erfasst werden, um gewohnte Funktionen bereit zu stellen. Damit ist jedem Nutzer klar, dass gegen die Grundsätze der DSGVO verstoßen wird. So kann man sich auch nicht mehr auf die “rechtliche Krücke” der EU-US Privacy Shield Zertifizierung zurück ziehen. Whatsapp schließt übrigens in seinen AGB’s die Nutzung im nicht privaten Umfeld ohne extra Zustimmung durch Whatsapp aus.

Besonders kritisch ist bei Whatsapp die Freigabe der Kontaktliste zu betrachten. Ein Nutzer darf der Freigabe eigentlich erst zustimmen, wenn er von allen Kontakten, deren Daten nicht öffentlich zugänglich sind, eine Einwilligung hat. Die Kontaktdaten in der persönlichen Kontaktliste sind nämlich gar nicht seine eigenen Daten, sondern gehören der jeweiligen Person. Siehe dazu auch “WhatsApp: Datenschutzkonforme Nutzung möglich?“.

Etwas anders verhält es sich im Falle von Apple. Hier sind Produkte grundsätzlich etwas mehr auf Datenschutz ausgelegt. Dennoch wird z.B. die “iCloud” für Unternehmen zum Problem, s. https://www.datenschutz-guru.de/warum-apples-icloud-fur-unternehmen-derzeit-ein-problem-sein-kann/.

In der Frage der Einwilligung in die Erfassung personenbezogenener Daten laufen im Moment außerdem Verfahren gegen Google und Facebook. Hier wird wiederum deutlich, dass eine wie auch immer geartete Zertifizierung einen Anhaltspunkt, jedoch keine Garantie dafür bietet, dass ein Webdienst im geschäftlichen Umfeld genutzt werden darf oder sollte.

Europäische Rechenzentren

In Sachen Technik und IT-Sicherheit ist es zu Recht umstritten, ob personenbezogene Daten grundsätzlich im Unternehmensnetzwerk oder der Cloud besser aufgehoben sind. Da muss einfach je nach Situation entschieden und abgewogen werden.

Microsoft

Eine Sonderposition nimmt hier aktuell Microsoft ein. Die Firma betreibt für Firmen eigene Rechenzentren in Europa und möchte so ausschließen, dass Daten in die USA übertragen werden. Das führte auch schon zu rechtlichen Auseinandersetzungen zwischen Microsoft und dem FBI (Microsoft setzt sich bei Datenabfrage gegen FBI durch). Aber aufpassen, denn das bedeutet nicht, dass alle von Microsoft angebotenen Dienste als datenschutzkonform nach DSGVO zu betrachten sind. Die Speicherung von Daten in europäischen Rechenzentren zum Beispiel lässt sich Microsoft extra bezahlen.

Fazit

Insgesamt zeigt sich inzwischen deutlich, dass die mittlerweile gewohnte Nutzung einiger Webdienste Probleme im Kontext des europäischen Rechtsraumes mit sich bringt. Rechtskonform in Bezug auf die Nutzung amerikanischer Dienste verhält man sich scheinbar nur durch völligen Verzicht.

Ob der Druck durch die EU Kommission und dem europäischen Markt groß genug wird, dass gerade häufig in Anspruch genommene amerikanische Firmen in Sachen Datenschutz nachbessern, bleibt abzuwarten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.