Nach dem jüngsten Urteil in Sachen Privacy Shield stehen wir in engem Kontakt mit Google und behalten die Entwicklung der rechtlichen Vorgaben im Auge. Die unten genannten Fragen und Antworten stellen unseren aktuellen Kenntnisstand dar, werden sich in den kommenden Wochen und Monaten allerdings noch weiter an die neuen Gegebenheiten anpassen. |
|---|
Was müssen wir nun an den Services in unserer CMP anpassen?
Eine Anpassung der Data Processing Texte ist nicht notwendig, soweit in denen von Ihnen genutzten Texten auf den Datentransfer in ein Drittland hingewiesen wird.
Wird und muss Usercentrics die Texte in den Service Templates anpassen?
Aus rechtlicher Sicht sehen wir derzeit nicht die Notwendigkeit, die Datenschutztexte (Service Templates) anzupassen. Über die Datenweitergabe in ein Drittland wird der Nutzer über unsere Templates informiert. Auch können die Templates von den Kunden individuell angepasst werden, sollte weiterer, individueller Änderungsbedarf bestehen.
Jedoch sollten Sie prüfen, ob sich die Rechtsgrundlage für die Verarbeitung der Daten geändert hat. Es muss geprüft werden:
Werden die Daten in die USA übermittelt?
Bestehen mit dem Tool-Anbieter Standardvertragsklausel?
Falls - ja - sollte geprüft werden, ob diese gültig sind, da fraglich ist, ob ein US-amerikanisches Unternehmen die Vorgaben solcher Klauseln tatsächlich einhalten kann.
Falls die Standardvertragsklauseln nicht als Rechtsgrund für die Datenübermittlung herangezogen werden können, sollten Sie die Verarbeitung der Daten auf die Einwilligung stützen.
Wurde das Tool unter die Kategorie “essentiell” eingeordnet, wird keine Einwilligung des Nutzers eingeholt. Die Kategorieauswahl sollte angepasst werden.
Müssen Services, die Daten an die USA weitergeben in einer extra Kategorie eingeordnet werden?
Die Kategorie richtet sich weiterhin nach dem Zweck des Services. Services, die Daten in ein Drittland transferieren, in dem kein angemessenes Datenschutzniveau festgestellt wurde, bedürfen - soweit Standardvertragsklauseln nicht weiterhelfen - einer Einwilligung und können nicht auf das berechtigte Interesse gestützt werden. Ist ein solcher Service als "essentiell" eingeordnet, wird keine Einwilligung des Nutzers eingeholt. Die Kategorieauswahl sollte angepasst werden.
An welcher Stelle muss der User über die Tatsache, dass Daten an die USA weitergegeben werden, informiert werden?
In dem Fall, dass die Einwilligung eines Services aufgrund eines Datentransfers in die USA eingeholt wird, sollte der Nutzer darüber auch frühzeitig informiert werden, damit er im Hinblick auf den Datentransfer eine informierte Entscheidung treffen kann. Für den Nutzer muss die Tragweite seiner Erklärung erkennbar sein. Aus rechtlicher Sicht ist es dafür derzeit noch nicht zwingend, bereits im Banner darüber zu informieren, solange die Information in den Data Processing Service Texten für den Nutzer angezeigt wird.
Können Sie mir bestätigen, dass keine Subunternehmer in den USA für Usercentrics eingesetzt werden?
Usercentrics schließt mit jedem Kunden einen Auftragsverarbeitungsvertrag, in dem zwei Subunternehmer von Usercentrics aufgeführt werden. Das sind Google LLC bzw. Google Ireland Ltd. und Auth0. Da es sich um US amerikanische Unternehmen handelt, wurden zwischen Usercentrics und den Subunternehmern Standardvertragsklauseln abgeschlossen. Dennoch stehen wir aufgrund der aktuellen Privacy Shield Entscheidung nun vor der Herausforderung, für den Einsatz unserer Subunternehmer eine Einzelfallprüfung vorzunehmen, da uns eine gesonderte Prüfpflicht trifft. Da wir in der Einzelfallprüfung unter anderem auf FISA Section 702, Executive Order 12.333 und 50 U.S.C. eingehen müssen, brauchen wir hier noch ein wenig Zeit. Ergibt die Prüfung, dass die Standardvertragsklauseln den rechtlichen Anforderungen genügen, werden wir unsere Kunden umgehend informieren und ihnen empfehlen, Standardvertragsklauseln direkt mit unseren Subunternehmen abzuschließen. Alternativ können unsere Kunden Usercentrics eine Ermächtigung erteilen, in ihrem Namen Standardvertragsklauseln mit Usercentrics' Subunternehmern abzuschließen. Wir bemühen uns um eine baldige Auskunft.
Gibt es Links, die in den DPS-Texten gelöscht werden müssen, weil sie auf Seiten mit Aussagen verweisen, welche jetzt obsolet sein könnten?
Es liegt in der Verantwortung des jeweiligen Tool-Anbieters, die Datenschutzerklärungen anzupassen, daher sollten die Verlinkungen auf die jeweiligen Technologien bereits von den Verantwortlichen angepasst worden sein. Sofern beispielsweise in den Custom Templates ein Verweis auf das Privacy Shield enthalten ist, sollte dieser selbstverständlich entfernt werden.
Müssen wir das Privacy Information Center anzeigen, damit unsere User Zugang zu allen Informationen inkl.Weitergabe an Drittländer haben?
Ja, unbedingt.