Das Datenschutzabkommen US Privacy Shield ist passé. Der Datenschutz für EU-Bürger scheint auf den ersten Blick gestärkt worden zu sein. Für Online-Schaffende ist jedoch eine Zeit der rechtlichen Ungewissheit angebrochen. Wir haben nach Antworten auf die wichtigsten Fragen gesucht und sie bei Rechtsanwalt und YouTuber Christian Solmecke gefunden.

Autor: Petru Leuthold

Was passiert ist: Am 16. Juli 2020 entschied der Europäische Gerichtshof, oder kurz EuGH, im sogenannten Schrems II-Urteil, dass das Datenschutzabkommen zwischen der EU und den Vereinigten Staaten mit der Bezeichnung EU Privacy Shield, nichtig ist. Damit gab das EuGH, wiederholt dem österreichischen Datenschutzaktivisten Maximilian Schrems Recht, der schon 2013 erfolgreich gegen das damals gültige Safe Harbour-Datenschutzabkommen klagte, das ebenfalls zwischen der EU und der USA galt. Als Begründung für diese Entscheidung gaben die Richter des EuGH an, dass Unternehmen, die Daten von Europäischen Bürgern auf Servern auf US-Territorium verarbeiten, trotz des US Privacy Shield-Abkommens, nicht in der Lage sind, zu gewährleisten, dass Daten nicht doch an US-Behörden weitergegeben werden. Der Grund darin liegt in den Gesetzen der Vereinigten Staaten, die in bestimmten Fällen, Unternehmen gesetzlich verpflichtet, Zugriff auf deren Daten zu erlauben. 

Das Urteil ist insofern bedeutend, da ein Großteil der angebotenen Software, Apps und Plattformen im Internet aus den USA stammen. Darunter fallen im Prinzip alle Art von Onlinediensten, angefangen bei den sozialen Medien, über Bildbearbeitungsapps oder Newslettersysteme, bis hin zu Webhosting-Anbietern. Das gekippte Datenschutzabkommen, war bisher die Grundlage dafür, dass in Europa gewonnene Daten auch in den USA verarbeitet werden durften. Da das Abkommen nun gekippt ist, ist man nun faktisch abmahnbar, sofern man Apps, Tools und Portale nutzt, die Ihren Datenschutz weiterhin unter dem alten Abkommen betreiben.

Vom Urteil besonders betroffen sind hierbei Influencer und Content Creator deren Zuhause und zugleich auch deren Daseinsberechtigung das Internet und insbesondere die sozialen Medien sind. Da stellt sich die Frage, wie verhält man sich nun richtig? 

Um die wichtigsten Antworten auf diese und weitere Fragen zu erhalten, haben wir bei Rechtsanwalt der Kölner Kanzlei WILDE BEUGER SOLMECKE Christian Solmecke nachgefragt, der zugleich erfolgreicher YouTuber ist.

Gastautor: Christian Solmecke

Christian Solmecke (45) hat sich als Rechtsanwalt und Partner der Kölner Medienrechtskanzlei WILDE
BEUGER SOLMECKE auf die Beratung der Internet und IT-Branche spezialisiert. So hat er in den vergangenen Jahren den Bereich Internetrecht/E-Commerce der Kanzlei stetig ausgebaut und betreut zahlreiche Medienschaffende, Web 2.0 Plattformen und App-Entwickler. Neben seiner
Tätigkeit als Rechtsanwalt ist Christian Solmecke vielfacher Buchautor und als Geschäftsführer der cloudbasierten Kanzleisoftware Legalvisio.de auch erfolgreicher LegalTech Unternehmer.

wbs-law.de /// YouTube /// Instagram /// Foto: Tim Hufnagl

INFLZR: Herr Solmecke, wie wirkt sich die EuGH-Entscheidung zum US Privacy Shield auf Online-Schaffende, insbesondere auf Influencer und Content Creator, aus?

Solmecke: Das EuGH-Urteil in der Sache Schrems II betrifft so gut wie jeden Internetnutzer. Auch Influencer und Content Creator sollten sich nun die Frage stellen, ob sie ihren Internetauftritt und ihre öffentlich zur Verfügung gestellten Datenschutzerklärungen anpassen müssen.

Jegliche Funktionen, durch die Influencer und Content Creator personenbezogene Daten ihrer Follower und sonstigen Besucher ihrer Websites in die USA übermitteln, sollten überprüft und überdacht werden. Da der EuGH den Beschluss der EU-Kommission zum EU-US-Privacy Shield kippte, dürfen sich Influencer in ihrer Datenschutzerklärung nicht mehr auf diesen stützen.

INFLZR: Ergeben sich nun für Influencer/Creator innerhalb der sozialen Medien irgendwelche Einschränkungen oder gar Verbote?

Solmecke: Sofortige Einschränkungen oder Verbote werden Influencer auf ihren Social-Media-Kanälen nun kurz nach dem EuGH-Urteil wohl noch nicht zu spüren bekommen. Dennoch ist ihre Influencer-Tätigkeit auf Facebook oder Instagram von dem EuGH-Urteil betroffen, wenn sie die Daten ihrer Follower oder sonstigen Besucher an die Plattformen übermitteln. Facebook Irland gibt nämlich personenbezogene Daten europäischer Facebooknutzer an den Mutterkonzern in den USA weiter. Facebook beruft sich bei der Übermittlung personenbezogener Daten von der EU in die USA auf die so genannten Standardvertragsklauseln. Dabei handelt es sich um von der EU-Kommission beschlossene vertragliche Musterklauseln, mit denen ein angemessenes Datenschutzniveau in einem Drittland zugesichert wird. Der EuGH hat den Beschluss zu den EU-Standardvertragsklauseln als wirksam erachtet. Dennoch sind die europäischen Datenschutzbehörden, im Falle von Facebook die irische Datenschutzbehörde, in der Pflicht, die Einhaltung der Standardvertragsklauseln zu kontrollieren und bei Verstößen gegen die DSGVO den Datenfluss zu stoppen. Erst einmal sind jedoch die Reaktionen der Datenschutzbehörden abzuwarten.

INFLZR: Besteht jetzt Gefahr abgemahnt zu werden, bei Nutzung von Online-Tools von US-Dienstleistern, wie zum Beispiel Mailchimp oder Google mit beispielsweise ihrem Service Google Analytics usw.?

Solmecke: Durch die Nutzung von z.B. Mailchimp oder Google Analytics werden personenbezogene Daten in die USA transferiert. Mailchimp hat aber bereits erklärt, dass es sich beim Datentransfer ebenfalls auf die Standardvertragsklauseln beruft.

Stellen die Datenschutzbehörden fest, dass die Übermittlung der personenbezogenen Daten gegen die Standardvertragsklauseln verstößt, können sie die Unterlassung des Einsatzes von Diensten wie Mailchimp verlangen oder sogar Bußgelder verhängen. Die Reaktionen der Datenschutzbehörden sind allerdings in Ruhe abzuwarten.

Influencer können auch von ihren Followern und anderen Usern, deren Daten sie verarbeiten, auf Unterlassung oder Schadensersatz verklagt werden. Dies kommt bis dato aber eher selten vor und die Gerichte sind beim Schadensersatz sehr zurückhaltend.

INFLZR: Sind Aussagen wie beispielsweise "Folge mir auf Instagram" überhaupt noch erlaubt?

Solmecke: Diese Frage könnte das Wettbewerbsrecht betreffen. Das EuGH-Urteil hatte diesbezüglich keine Auswirkungen.

Solmecke: Das kommt ganz darauf an, ob das Einbetten von Inhalten aus sozialen Medien mit einer Datenübermittlung in die USA verbunden ist.

Ist das der Fall, können sich soziale Netzwerke wie Facebook weiterhin auf die Standardvertragsklauseln stützen.

INFLZR: Wie soll man sich als Influencer/Creator nun richtig verhalten?

Solmecke: Die sicherste Variante wäre, sich von US-Dienstleistern, die personenbezogene Daten in die USA übermitteln, zu trennen. Das ist als Influencer in den sozialen Netzwerken natürlich unmöglich. Sofern umsetzbar ist es allerdings sinnig, bei der Nutzung von US-Dienstleistern die Datenverarbeitung auf EU-Servern auszuwählen. Allgemein sollten Influencer darauf achten, dass dem Datentransfer, den sie mit verantworten, zumindest Standardvertragsklauseln zugrunde liegen.

Am sichersten ist es, die Einwilligung der Follower in die Datenübermittlung einzuholen. Hierbei müssen die Follower allerdings transparent über den Datentransfer aufgeklärt und auf Risiken hingewiesen werden. In jedem Fall sollte jeder Influencer bzw. Content Creator seine Datenschutzerklärung anpassen und schnellstmöglich einen Hinweis auf das Privacy Shield daraus entfernen.

INFLZR: Vielen Dank, Herr Solmecke für Ihre Antworten und Ihre Zeit.

Teile diesen Beitrag