Google setzt auf Standarddatenschutzklauseln nach gekipptem Privacy Shield
Weil der EuGH das Privacy-Shield-Abkommen gekippt hat, kündigt Google an, auf Standarddatenschutzklauseln zu setzen. Fraglich, ob die rechtlich haltbar sind.
(Bild: Screenshot der Mail von Google.)
Google kündigt für seine Werbedienste unter "Google Ads" an, auf Standarddatenschutzklauseln (SDK) als Rechtsgrundlage für die Übermittlung von Daten zu setzen, da das Privacy-Shield-Abkommen vom Europäischen Gerichrtshof (EuGH) gekippt wurde. Dieser hatte jedoch auch gesagt, dass Google unter das US-Überwachungsabkommen falle und dieses wiederum gegen die EU-Grundrechte verstoße. Damit sind die Voraussetzungen der SDK kaum zu erfüllen.
Betroffen sind laut Google die "Google Ads Data Processing Terms", "Google Ads Controller-Controller Data Protection Terms" und "Google Measurement Controller-Controller Data Protection Terms". In einer E-Mail an Partner steht, die Regelungen würden mit 12. August aktualisiert und sollten DSGVO-konform sein. Sie würden Google keine zusätzlichen Rechte bezüglich der Nutzung von Daten geben. Weitere Informationen sollen bis dahin folgen.
Standarddatenschutzklauseln für Drittländer
Ein Link in der Mail führt zu der Erklärung: "Google wechselt zu Standarddatenschutzklauseln, durch die der Datentransfer entsprechend der DSGVO legitimiert werden kann." Bei Googles Clouddiensten seien diese bereits eingesetzt. SDK regeln die Übermittlung personenbezogener Daten in Drittländer, wenn kein anderer Beschluss vorhanden ist. Dafür muss der Auftragsverarbeitende, also in diesem Fall Google, garantieren können, dass das betreffende Drittland ein angemessenes Datenschutzniveau hat.
Der Datenschutzaktivist Max Schrems, der maßgeblich das Privacy-Shield-Abkommen zu Fall brachte, wirft Google vor, eine "Drei-Affen-Lösung" nutzen zu wollen – und postet die Affen-Emojis, die für "nichts sehen, nichts hören und nichts sagen" stehen. Dazu schreibt er in den Hashtags, Google suche Ärger.
Zwar sind die SDK laut EuGH weiter zulässig, vorausgesetzt, dass die Personen, deren Daten in andere Länder übermittelt werden, ein Schutzniveau genießen müssen, das dem der DSGVO gleichwertig ist. Abschließen könnten solche SDK die lokalen Datenschutzbehörden der EU-Mitgliedsstaaten. Die Klauseln hätten Kritikern zufolge jedoch keinen Einfluss auf die Zugriffsmöglichkeiten der US-Behörden, weshalb fraglich ist, ob sie überhaupt Bestand haben können.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(jk)