Nutzung US-Dienstleister: EU-Standardvertragsklauseln als Lösung?
Datenschutz spielt auch in der digitalen Kommunikation eine grosse Rolle. Man denkt sofort an Datenschutzerklärungen auf jeder Website, an das Formular für das Abonnieren der Newsletter, den Schutz der Kundendaten und Vieles mehr. Hier diskutieren wir einen ein wenig versteckten Zusammenhang: Die Nutzung von US-basierten Anbietern für online Services. Mit der Entscheidung der Europäischen Kommission (2016/1250) vom […]

Datenschutz spielt auch in der digitalen Kommunikation eine grosse Rolle. Man denkt sofort an Datenschutzerklärungen auf jeder Website, an das Formular für das Abonnieren der Newsletter, den Schutz der Kundendaten und Vieles mehr. Hier diskutieren wir einen ein wenig versteckten Zusammenhang: Die Nutzung von US-basierten Anbietern für online Services.

Mit der Entscheidung der Europäischen Kommission (2016/1250) vom 12. Juli 2016 über den sog. EU-U.S.-Privacy Shield wurde eine neue Grundlage für Datenübermittlungen von der EU in die USA gelegt. Sie ermöglichte europäischen Unternehmen Daten auch bei US-Dienstleistern zu hosten/bearbeiten zu können (z.B. in der Cloud) ohne Datenschutzrichtlinien zu verletzen.

Doch seit Juli 2020 ist das Privacy Shield nicht mehr gültig. Das hat Auswirkungen für Kunden von Adobe (z.B. Cloud, iStock), Amazon AWS, G-Suite (Google), Salesforce und SAP um nur einige Anbieter zu nennen.

Der „Schrems II“ Fall wurde durch die Beschwerde des österreichischen Juristen und Datenschutzaktivisten Max Schrems ausgelöst. Hier weiter unten bieten wir Ihnen sogenannte „Schrems II“ Handlungsempfehlungen für eine datenschutzkonforme Verarbeitung in den USA.

In einem Überblick vergleichen wir die Datenschutzgrundverordnung (DSGVO) (gültig seit Mai 2018 – FAQs von drkpi) mit dem California Consumer Protection Act (CCPA) (in Kraft seit Januar 2020), der für in Kalifornien ansässige Personen gilt. Er wurde dem DSGVO nachgebaut und hat in den USA als Vorbild andere Bundesstaaten beeinflusst:

  • Die DSGVO gilt für personenbezogene Daten der betroffenen Personen in der EU, während der
  • CCPA für personenbezogene Daten von Verbrauchern und Haushalten in Kalifornien gilt.

Stresstest für Marketingdaten und Datenschutz

Dank Digitalisierung sind Daten im Marketing ein Dauerthema. Aus diesem Grunde stellen wir Ihnen auch den drkpi® DSGVO Audit Light Ratgeber zur Verfügung.

Dass medizinische Daten akkurat und zeitnah genutzt werden müssen erleben wir aktuell bei den COVID-19 Tracing Apps, die in vielen Ländern eingesetzt werden. Die Tracking-Apps auf der ganzen Welt speichern Kontaktdaten von Personen, welche bis 2 Tage vor Krankheitsbeginn mit dem Infizierten Kontakt hatten. Im August 2020 fanden Forscher, dass Infizierte das Coronavirus bis zu 5 oder 6 Tage vor Ausbruch der Krankheit weitergeben können.

Somit gibt uns die App ein ungenaues Bild der Realität. Hinzu kommt, dass z.B. in der Schweiz viele die App wegen Bedenken zum Datenschutz nicht nutzen wollen.

Sind diese Bedenken berechtigt? Viele Menschen vergessen, dass Sie bei Nutzung anderer Apps viel mehr Daten preisgeben:

  • Wenn bei Google eingeloggt, sammelt Chrome Browser Daten.
    Alternative: Firefox, Brave, Vivio, usw.
    Trend: Third-Party-Cookies im Google Chrome Browser sind ab 2022 nicht mehr willkommen. Apple löscht im Safari Browser alle First-Party-Cookies nach 24 Stunden.
  • Websites zur Gesundheit teilen Daten mit Werbekunden – #DSGVO #CCPA Verletzungen: Symptome, die in den Symptom-Checker von WebMD eingegeben wurden, und die erhaltenen Diagnosen, einschliesslich der „Medikamentenüberdosierung“, wurden mit Facebook geteilt.
    Informationen zu Menstruations- und Ovulationszyklus vom BabyCentre wurden mit Amazon Marketing geteilt.
    Schlüsselwörter wie „Herzkrankheit“ und „Abtreibung in Betracht ziehen“ wurden von der British Heart Foundation, Bupa und Healthline sowie Scorecard Research und Blue Kai (im Besitz von Oracle) geteilt.
    Weiterführendes Lesematerial zum Thema: FT How top health websites are sharing sensitive data with advertisers, FT Best of Business Data health warning, 2019-11-16/17, p. 11 (nur für Abonnenten).

Vergleich DSGVO mit CCPA

Ein Grossteil der Anbieter von Software-as-a-Service (SaaS) und Cloud-Diensten haben ihren Sitz in den USA. Dort werden die Daten zum Teil auch verarbeitet oder von Europa via die USA nach Australien übermittelt. Beispiele sind Amazon AWS, G-Suite, Oracle, Salesforce, Mailchimp, Microsoft, Adobe, PayPal und andere.

Doch auch in den USA wird Datenschutz immer mehr ein Thema. Diese Tabelle vergleicht DSGVO mit dem CCPA. Beim genauen Lesen fällt auf, dass das CCPA sehr viele Ähnlichkeiten mit der EU Datenschutzgrundverordnung (DSGVO) hat.

Start of projectEU DatenschutzGrundverordnung (DSGVO)California Consumer Protection Act (CCPA)
In Kraft seit:2018-05-252020-01-01
Was sind die Rechte des Konsumenten oder einer Privatperson?Nach Art. 15 Abs. 1 DSGVO haben betroffene Personen das Recht, von Verantwortlichen eine Auskunft darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Wenn ja, haben sie grundsätzlich ein Recht auf Bestimmung über diese Daten.AB 375 ermöglicht es jedem kalifornischen Verbraucher, die Einsicht in alle Informationen zu verlangen, die ein Unternehmen über ihn gespeichert hat. Ebenfalls hat er oder sie das Recht, die vollständige Liste aller Dritten einsehen zu dürfen, mit denen Daten ausgetauscht werden.
Das Gesetz gibt den Verbrauchern das Recht, alle Daten zu verlangen, die ein Unternehmen in den letzten 12 Monaten über sie gesammelt hat. 
Für wen gilt diese(s) Gesetz / Verordnung – territoriale Anwendung?Nach Art. 3 Abs. 2 DSGVO gilt
1. Für datenverarbeitenden Unternehmen mit Sitz in der Europäischen Union.
2. Schweizer Firmen welche in der EU wohnenden Personen Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten.
Es müssen jedoch aktiv Kunden aus der EU geworben werden um unter das DSGVO zu fallen. Beispielsweise Zahlung in Euro möglich, Lieferbedingungen für EU Kunden sind aufgelistet, Webseite ist in einer EU Sprache, usw.
1. Alle Unternehmen, die an in Kalifornien lebende Konsumenten Leistungen anbieten und mindestens 25 Millionen Dollar Jahreseinnahmen haben.
2. Firmen welche Daten von mehr als 50.000 Personen haben (Vorsicht, mehr als 4.000 Besucher auf Ihrer Website pro Monat, und diese Sache wird relevant).
3. Unternehmen, die mehr als die Hälfte ihrer Einnahmen aus dem Verkauf von persönlichen Daten erzielen.
Welche Daten sind geschützt?Personenbezogene Daten gem. Artikel 4 der DSGVO sind alle Informationen, die sich auf eine bestimmte (identifizierte) oder bestimmbare (identifizierbare) natürliche Person beziehen.
Eine Person gilt als identifiziert, wenn die Zuordnung von Daten ohne Umweg möglich ist und ein direkter Bezug hergestellt werden kann (z.B. Name, Geburtsdatum, Postadresse, usw.).
Ist dies nicht direkt, jedoch mit Zusatzwissen möglich, handelt es sich um eine identifizierbare Person. Dieses Zusatzwissen müssen Sie nicht zwangsweise selbst besitzen, es kann auch von Drittpersonen kommen.
Der CCPA berücksichtigt nur Daten, die von einem Verbraucher zur Verfügung gestellt wurden (z.B. Name, Geburtsdatum, Alter, etc.), und schliesst persönliche Daten aus, die von Dritten gekauft oder durch Dritte erworben wurden.
Personenbezogene Daten umfassen keine anonymisierten Benutzerinformationen – die oft das Rohmaterial für die Schulung von Modellen der maschinellen KI sind. Eigentumsaufzeichnungen wie z.B. Software zur Gesichtserkennung!
Siehe auch California’s data breach notification law.
Welche Daten sind nicht geschützt?Erforderlichkeit für die Erfüllung einer rechtlichen Verpflichtung (z.B. Abführung von Steuern oder Sozialabgaben). Nur das Recht der EU oder der EU-Mitgliedstaaten ist hier massgeblich.
Nicht geschützt sind Daten von juristischen Personen wie Firmen oder Stiftungen.
„Öffentlich zugängliche“ Informationen, die von Bundes-, Landes- oder Kommunalregierungen gesammelt und veröffentlicht werden, sind unter dem CCPA nicht geschützt. Dazu gehören Einträge im Grundbuch, Gerichtsakten, Wählerregistrierungen sowie Geburts-, Heirats- und Sterbeurkunden. Etwa 200 Datenvermittlungsfirmen in den USA, wie BeenVerified, Intelius, SearchPeopleFree und Spokeo, sammeln und verkaufen diese Informationen und tun dies auch weiterhin.
Was sind die Bussen bei Verstössen gegen das Gesetz?Bei Verstössen gegen die DSGVO haben die Aufsichtsbehörden die Kompetenz zum Erlass von Massnahmen und zur Verhängung von Bussen bis zu EUR 20 Mio oder 4% des gesamten weltweiten Jahresumsatzes des zu büssenden Unternehmens (zur Verhängung von Bussen genügt Fahrlässigkeit, Vorsatz ist nicht erforderlich).1. Der Verbraucher kann den Generalstaatsanwalt informieren, der eine Geldbusse von bis zu 7.500 Dollar pro Datensatz verhängen kann. Das Unternehmen kann strafrechtlich belangt werden.
2. Wenn der Generalstaatsanwalt die Strafverfolgung ablehnt, dann können die betroffenen Verbraucher eine Sammelklage gegen das Unternehmen einreichen.
Was ist bei einer Datenschutzverletzung zu tun?Bei Datenschutzverletzung muss die zuständige Datenschutzbehörde innerhalb von 72 Stunden informiert werden. Bei hohem Risiko von Persönlichkeitsverletzungen muss zudem die betroffene Person benachrichtigt werden.Unternehmen sind nicht verpflichtet, Verstösse gemäss AB 375 zu melden, und Verbraucher müssen Beschwerden einreichen, bevor Geldbussen möglich sind.
Eine Organisation, die die DSGVO einhält, muss wahrscheinlich keine weiteren Massnahmen ergreifen, um AB 375 in Bezug auf die Sicherung von Daten einzuhalten.
Rudimentärer Vergleich der EU-Datenschutzgrundverordnung (EU-DSGVO) mit dem California Consumer Privacy Act (CCPA)

Schrems II Handlungsempfehlung: Lösung für Nutzung der US-Dienstleister

Die EuGH-Entscheidung in der Angelegenheit Schrems II verpflichtet die Verantwortlichen zu unmittelbaren Handlungen, um Übermittlungen an Empfänger in den USA (und anderen Drittstaaten) weiterhin rechtmässig durchführen zu können und keinen Sanktionen durch die Aufsichtsbehörden ausgesetzt zu sein.

Der Privacy Shield ist ab sofort ungültig. Doch wenn ich die obige Tabelle genau studiere, tauchen Fragen auf wie beispielsweise:

  • Sollte es nicht ein Unterschied sein, ob mein Datenverarbeiter dies in Kalifornien macht oder Arkansas (eher weniger streng mit Datenschutz) und wenn
  • ich überhaupt nicht überprüfen kann, wo die Daten in der Cloud gespeichert sind (geographisch gesehen)?

Das Schrems II Urteil gegen Facebook hat ein „Wackeln“ der EU-Standardvertragsklauseln zu Folge. Denn hierdurch sind in einigen Unternehmen elementare Geschäftsprozesse bedroht.  Nach Massgabe des EuGH-Urteils müssen Verantwortliche nun zusätzliche Schutzmassnahmen vereinbaren bzw. sicherstellen, die eine datenschutzkonforme Verarbeitung z.B. in den USA gewährleisten.

Die baden-württembergische Datenschutzbehörde (Landesbeauftragter für Datenschutz und Informationssicherheit, LfDI) hat am 24. August 2020 eine Orientierungshilfe zum Entscheid des EuGH vom 16. Juli 2020 zu Schrems II veröffentlicht.

Vorgeschlagen werden vom LfDi allerdings nicht nur Ergänzungen der EU-Standardvertragsklauseln. Der Regulator will die Umsetzung der Schrems II Handlungsempfehlung mit Änderungen der EU-Standardvertragsklauseln sicherstellen. Die Änderungen sind genehmigungspflichtig. Also müsste ein in der D-A-CH Region domiziliertes Unternehmen die Änderungen der für ihn zuständigen Aufsichtsbehörde vorgelegt und von dieser genehmigt werden (auch ein Schweizer Unternehmen wird diese Sachlage abklären müssen, wenn es Daten von EU-domizilierten Kunden in den USA bearbeiten lässt).

Soweit uns bekannt, schlägt der LfDI als erste Behörde Folgendes vor.

Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden.

Uns ist bewusst, dass mit dem Urteil des EuGH u.U. extreme Belastungen für einzelne Unternehmen einhergehen können. Der LfDI wird sein weiteres Vorgehen am Grundsatz der Verhältnismäßigkeit ausrichten. Wir werden die Entwicklung weiter beobachten und unsere Positionen dementsprechend laufend überprüfen und fortentwickeln.

2020-08-24 – baden-württembergische Datenschutzbehörde (Landesbeauftragter für Datenschutz und Informationssicherheit, LfDI). Orientierungshilfe zum Entscheid des EuGH vom 16. Juli 2020 zu Schrems II  (zweitletzte und letzte Seite der pdf Datei)

Aber sind meine Daten in Europa sicher? Achtung: US CLOUD Act

Im Jahr 2013, im Fall Microsoft gegen die Vereinigten Staaten, weigerte sich Microsoft erfolgreich, Daten an das Federal Bureau of Investigations (FBI) weiterzugeben. Das FBI beantragte bei Microsoft in Irland Zugriff auf Daten auf Servern.

Der „Clarifying Lawful Overseas Use of Data Act“ („CLOUD Act“) erlaubt es im Kern den US-Strafverfolgungsbehörden, von Kommunikationsdienstanbietern, wie etwa Cloud- oder E-Mail-Anbietern, in den USA Daten anzufordern, über die sie Besitz, Verwahrung oder Kontrolle ausüben.

Dies kann auch Daten betreffen, die in der Cloud auf Servern in den Mitgliedstaaten der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR) und der Schweiz (z.B. Microsoft Schweiz) gehostet werden. Grundsätzlich bedeutet dies, dass auch wenn ich ein Dienstleister in Europa nutze, wenn z.B. der Cloud Service Provider eine USA Firma ist, besteht die Möglichkeit das USA Behörden Zugang bekommen, DSGVO hin oder her.

Schlussfolgerungen – Datenschutzkonformität bei Nutzung der US-Dienstleister?

Was der LfDI vorschlägt ist, dass ich ihn überzeugen muss, welche Anwendung und welchen Anbieter ich in den USA nutzen will. Der von mir in den USA genutzte Dienstleister muss so gut sein, dass es in Europa und insbesondere Deutschland keine zumutbare Alternative gibt.

Viele Firmen müssten also eine Alternative für den jetzigen Newsletter-Provider wie Mailchimp, ActiveCampaign und weitere suchen. Wir haben es versucht und für den Marketingverband einen Service in Deutschland eingerichtet. Doch die so tolle DSGVO-Konformität lies zu wünschen übrig und technische Funktionalität war nicht zufriedenstellend.

Auch andere Angebote hatten bei den Tests keine gut funktionierenden Schnittstellen (API = Aplication Interface Programming) oder auch altmodische Editoren Angebote. Das bedeutete für uns viel mehr Arbeit, Zeitverlust und somit Kosten. All dies ohne dass wir eine wirklich gute DSGVO-Konformität erreichten.

Für den #drkpiBlogTracker Service Newsletter (siehe Einwilligung USA Datenverbarbeitung) sowie unseren Newsletter #drkpi sind wir weiterhin auf Mailchimp (hier der Check/Abo anfordern nutzen wir auch wieder Mailchimp – trotz des EuGH-Urteils.

Noch komplizierter wird es, wenn bei Nutzung eines US-Anbieters mehr als Name, Vorname und Email gespeichert werden. Beispielsweise können dies auch Versicherungsnummern, Gesundheits- oder Zahlungsdaten sein, welche in der Cloud gehostet werden (bei Amazon AWS usw.). Eigentlich müsste ich im Vorfeld die Datenschutzbehörden überzeugen.

Das Resultat ist:

  • Datenschutzbehörden brauchen für die Bearbeitung all dieser Eingaben zur Genehmigung viel Zeit und Nerven und
  • Betrieben gibt das viel Aufwand und sie brauchen Geduld bis alles genehmigt wird. Wenn nicht, geht der Stress erst recht los.

Da kann man nur hoffen, dass die neu aufgenommenen Gespräche nach dem Schrems-II-Urteil zwischen dem U.S. Department of Commerce und die Europäische Kommission bald eine Möglichkeit eines Privacy Shield 2.0 („enhanced EU‑U.S. Privacy Shield“) präsentieren können. Das wäre von Vorteil für Unternehmen und Konsumenten (siehe Pressemitteilung).

Wenn Sie sich bei Ihrer digitalen Kommunikation an die EU-DSGVO halten, sind Sie schon einmal innerhalb von Europa sicher. Hier loht es sich in eine stabile Basis zum Datenschutz zu investieren, Personal zu schulen, richtig zu dokumentieren. Sonst kann es sehr teuer werden. Möchten Sie wissen, wo Sie stehen? Nutzen Sie unseren AuditLight Check (zum Herunterladen als PDF).

Setzen Sie die EU-Standardvertragsklauseln als Lösung bei Nutzung US-Dienstleister ein?

Was ist Ihre Meinung?


Know the main point of the game. The goal of American football is to score points by carrying the ball from a starting point on a 120-yard long and 53. 3-yard wide field into a specially marked 10-yard-deep area at either end of the field called an end zone. Each team uses the end zone in front of them to score while trying to prevent the opposing team from reaching the end zone behind them. [1] Each end zone has a Y-shaped structure called the field goal which is positioned on the end line. The field goals are used to score points with special kicks

The end zone that a team is defending is usually referred to as “their” end zone. Thus, a team with yards ( 64. 0 m ) to go before it can score a touchdown is 30 yards ( 27. 4 m ) from its end zone. Teams trade possession of the ball according to rigoureux rules. Whichever team is in possession of the ball is known as the “offense;” the other team is called the “defense. ”

Learn the time divisions. Football is divided into four quarters of 15 minutes each, with a break between the second and third periods called “halftime” that is normally 12 minutes long. [3] While the clock is active, the game is divided into even shorter segments called “plays ' or ' downs. '

A play begins when the ball is moved from the ground into the hands of the players, and ends when either the ball hits the ground, or the person holding the ball is tackled and his knee or elbow notes the ground. When a play is over, an official called a referee, places the ball on the yard marker which corresponds to his or her judgment of the place where the forward progress of the player with the ball was stopped. Each team has 4 downs and within those downs, they have to make ten yards from the line of scrimmage ( the starting point ). If the team fails to do so within the 4 downs, the offensive team has to hand over the ball to the opposing team. If the offense succeeds in taking the ball 10 yards in the 4 downs they get another 4 downs to move the ball 10 yards. The teams have 30 seconds to get into formation and begin the next play.

Play time can stop for a few different reasons : If a player runs out of bounds, a penalty is called, a flag is thrown, or a pass is thrown but not caught by anybody ( an incomplete pass ), the clock will stop while referees sort everything out.

Penalties are indicated by referees, who throw yellow flags onto the field when they see a violation. This lets everyone on the field know that a penalty has been called. Penalties normally result in the offending team losing between 5 - 15 yards of field position. [4] There are many penalties, but some of the most common are “offside” ( someone was on the wrong side of the line of scrimmage when the ball was snapped ), “holding” ( a player grabbed another player with his hands, and either player doesn’t have the ball, instead of blocking him properly ), ' false start ' ( When a player moves before the ball is snapped ), ' Unsportsmanlike conduct ' ( When a player does something that doesn’t show good sportsmanship, and “clipping” ( someone contacted an opposing player other than the ball carrier from behind and below the waist ).

The opening kickoff - At the very beginning of the game, the head referee flips a coin and the home team captain calls out which side of the coin will be face up. If convenable, that captain may choose to kick off or to receive the opening kickoff or allow the visiting team captain to make that choice. Once the kicking and receiving teams are decided, the team captain who lost the coin toss gets to decide which goal his or her team will defend during the first half. This principal play is called the kickoff, and typically involves a long kick down field from one team to the other, with the team that kicked the ball rushing towards the team receiving the ball in order to prevent them from running the ball a long ways back towards the kicking team’s end zone. After halftime, there is a deuxième kickoff by whichever team did not perform the opening kickoff. Throughout the deuxième half, the end zones each team defends is the one opposite the end zone that team defended in the first half

Downs - The word “down” is synonymous with the word “chance” or ' plays ' in American . The offense is allowed four downs to move the ball at least 10 yards ( neuf. 1 m ) towards the end zone. Each play ends in a new down. If the goal of 10 yards ( neuf. 1 m ) from the first down is achieved before the fourth down is over, the count resets to the first down, commonly noted as “1st and 10” to indicate that the standard 10 yards ( neuf. 1 m ) are once again required to reset to the first down. [6] Otherwise, the downs count from one to four. If four downs pass without resetting to the first down, control of the ball passes to the other team

This means that a team that moves the ball 10 or more yards on each play will never be on the deuxième down. Every time the ball is moved 10 yards ( neuf. 1 m ) or more in the proper direction, the next play is a first down with 10 yards ( neuf. 1 m ) to go.

The distance required to reset to the first down is cumulative, so course 4 yards ( 3. sept m ) on the first down, 3 yards ( 2. sept m ) on the deuxième, and 3 yards ( 2. 7 m ) on the third is enough for the next play to be a first down again.

If a play ends with the ball behind the line of scrimmage, the difference in yards is added to the total number of yards required for a first down. For example, if the quarterback is tackled sept yards ( 6. 4 m ) behind the line with the ball in his hands, the next play will be noted as “2nd and 17, ” meaning that 17 yards ( 15. 5 m ) must be covered in the next three plays to reset to a first down.

Instead of playing the fourth down, the offense can choose to punt the ball, which is a long kick that transfers control of the ball to the other team, but is likely to intensité them to start farther up the field than they would otherwise have been.

SHOP NOW

Leave a Reply

Your email address will not be published. Required fields are marked *