Der erneute Sieg des österreichischen Datenschutzaktivisten Max Schrems über den US-"Datenschutz" bedeutet dringenden Handlungsbedarf für praktisch jeden Website-Betreiber.

Die beiden Urteile sind im Grunde das Aus für den Einsatz vieler "kostenloser" Tools wie zB. GoogleAnalytics, GoogleAds oder Facebook-Remarkting ohne die VORHERIGE detaillierte Information und AUSDRÜCKLICHE Zustimmung der Website-Besucher. "Kostenlos" ist deren Einsatz ja nur in finanzieller Hinsicht, denn "bezahlt" werden die Anbieter für diese Dienstleistung mit einer viel wertvolleren Währung: den Verhaltensdaten der Website-Besucher, die das bisher in den meisten Fällen nicht verhindern konnten.

Google, Facebook und Co. speichern und verarbeiten die Daten über die Nutzer ihrer Werkzeuge auf Servern in Amerika. Daher war der Einsatz von zB. GoogleAnalytics, Adwords, Youtube oder GoogleMaps innerhalb der EU schon seit einigen Jahren rechtlich nur mehr deshalb zulässig, weil die EU mit den USA eine Nachfolgevereinbarung für das 2015 gescheiterte "Safe-Harbour-Abkommen" abschloss: den sogenannten EU-US-Privacy-Shield, der - reichlich keck - behauptete, der Datenschutz in den Vereinigten Staaten hätte ein vergleichbares Niveau wie in der EU.

Der österreichische Datenschutzaktivist Max Schrems, der schon das Vorgängerabkommen "Safe-Harbour" zu Fall brachte, war mit seiner Klage erneut erfolgreich und konnte am 16. Juli 2020 vor dem Europäischen Gerichtshof eine richtungsweisende Entscheidung erreichen: auch der "EU-US-Privacy-Shield" wurde gekippt - im wesentlichen wegen der Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet und außerdem der Rechtsschutz für Betroffene unzureichend. Vereinfacht gesagt war das Privacy-Shield-Abkommen das Papier nicht wert, auf dem es geschrieben stand.

Das Urteil, das sich auf den ersten Blick vor allem gegen Facebook richtet, hat weitereichende Konsequenzen für europäische Website-Betreiber: damit ist nämlich klargestellt, dass jegliche Datenverarbeitung auf US-amerikanischen Servern nicht rechtens ist, wenn sie sich auf den "Privacy-Shield" als Rechtsgrundlage beruft.

Diese Entwicklung, die wir schon länger prognostiziert und erwartet hatten, zeichnete sich schon Ende Mai 2020 mit dem "Planet 49-Urteil" ab, das die Praxis voraktivierter Cookie-Zustimmungs-Boxen explizit verbot. Damit war das Aus der auch in Österreich weit verbreiteten "Opt-Out"-Cookie-Banner bereits absehbar, das Privacy-Shield-Urteil versetzt dieser Praxis nun den Todesstoß. Denn die DSGVO legt schon seit 2018 klar fest, dass die Website-Besucher nicht nur (bereits vor deren erstmaligem Setzen!) über die Datenverarbeitung und den Cookie-Einsatz informiert werden müssen, sondern v.a. auch, dass es möglich gemacht werden MUSS, eine Website ohne Datensammlung für die Zwecke Dritter zu nutzen.

Ausschließlich technisch notwendige Datenverarbeitungen, ohne die ein Funktionieren einer Website nicht sichergestellt werden kann (wie zB. der Warenkorbinhalt in einem Online-Shop), dürfen ohne explizite Zustimmung stattfinden. Informiert werden muss darüber aber ebenso. Alle anderen Datenverarbeitungen müssen für den Website-Besucher zusätzlich auch auswählbar und deaktivierbar realisiert werden und es ist eine detaillierte Information anzugeben, welche Dienste für welche Zwecke eingesetzt werden, welche Daten dabei von wem erhoben und verarbeitet werden, wo sie gespeichert und an wen sie allenfalls weiter gegeben werden.

Wer nach diesen Urteilen noch immer meint, ein Cookie-Banner nach der Art "Wir nutzen Cookies auf unserer Website und du musst das akzeptieren." würde der DSGVO genügen, sollte sich langsam auf ein böses Erwachen vorbereiten - oder jetzt handeln. Wir haben nun eine tolle Lösung für das "Cookie-Consent-Problem" entwickelt und helfen Ihnen gerne -

kontaktieren Sie uns!