Data Privacy Framework (DPF): Änderungen sind erforderlich
Bildnachweis: © gankevstock - stock.adobe.com
In einer global vernetzten Welt ist der Schutz der Privatsphäre ein grundlegendes Anliegen. Am 10. Juli 2023 ist das neue EU-US Data Privacy Framework (DPF) in Kraft getreten. Dadurch ist der Transfer personenbezogener Daten von der Europäischen Union (EU) in die USA wieder rechtskonform möglich.
In diesem Blogartikel erfahren Sie, was genau das DPF ist und wie es die Datenschutzlandschaft verändert. Zudem gehen wir auf die Anpassungen ein, die auf Internetseiten unserer Kundinnen und Kunden nötig werden, um US-Tools und Programme datenschutzkonform zu nutzen.
Was ist das EU-US Data Privacy Framework?
Das EU-US Data Privacy Framework wurde entwickelt, um den rechtssicheren Transfer personenbezogener Daten zwischen der EU und den USA zu gewährleisten. Zwei Datenschutzabkommen zwischen der EU und den USA waren in der Vergangenheit bereits gescheitert. Nachdem das Abkommen „Privacy Shield“ im Jahr 2020 vom Europäischen Gerichtshof (EuGH) für ungültig erklärt wurde, führte dies zu Unsicherheit und Angst vor Abmahnungen und Bußgeldern bei denjenigen, die Dienstleistungen von US-Anbietern wie z. B. Google, Meta oder Amazon auf ihren Internetseiten nutzen. Ein Datentransfer war nur unter umfangreichen Vorsichtsmaßnahmen zu vertreten.
Die DSGVO verbietet grundsätzlich die Übermittlung personenbezogener Daten außerhalb der EU in sogenannte „Drittländer“ (Art. 44 bis 49 DSGVO) – dazu gehören vor allem die USA. Es sei denn, es kann ein angemessenes Datenschutzniveau in dem Drittland festgestellt werden.
Durch Änderungen, wie zum Beispiel die Verbesserung im amerikanischen Geheimdienstrecht und effiziente Möglichkeiten in den USA gegen Verstöße zu klagen, erkennt die EU-Kommission das US-Datenschutzniveau nun als gleichwertig gegenüber der EU an, wenn sich US-Unternehmen nach dem EU-US Data Privacy Framework selbst zertifiziert haben. Es wurde in Artikel 45 DSGVO ein entsprechender Angemessenheitsbeschluss erlassen.
Was bedeutet das konkret?
Mit dem neuen Abkommen „Privacy Shield 2.0“ werden Datentransfers deutlich erleichtert. Die Nutzung von Tracking-/ Analytic- und Marketing-Tools aus den USA ist wieder zulässig. Es müssen keine sogenannten Standardvertragsklauseln mehr verwendet werden, um Daten rechtskräftig in die USA zu übermitteln.
Anpassungen auf den Internetseiten unserer Kunden
Um sicherzustellen, dass die Internetseiten unserer Kunden den neuen Datenschutzanforderungen entsprechen, sind folgende Änderungen notwendig:
1. Überprüfung der Dienste
Eine gründliche Überprüfung der auf den Internetseiten unserer Kunden genutzten Dienste, die Daten in die USA übertragen, ist erforderlich. Es wird geprüft, ob der US-Datenempfänger von der Datenschutzbehörde zertifiziert ist. Zudem wird kontrolliert, ob die betreffende Datenübermittlung auch von dieser Zertifizierung abgedeckt ist. Dies betrifft alle externen Dienstleister, die Zugriff auf personenbezogene Daten haben könnten. Jede Unterseite muss dafür analysiert werden, um alle externen Dienste zu identifizieren. Die Staude GmbH wird sicherstellen, dass alle Dienstanbieter auch gemäß dem Data Privacy Framework zertifiziert sind.
Hier finden Sie eine Auflistung der US-Dienste, die bei uns eingesetzt werden:
- CDN – Cloudflare
- Google Ads
- Google Analytics
- Google Fonts
- Google Maps
- Google Tag Manager
- Meta-Pixel (ehemals Facebook Pixel)
- YouTube
CDN nutzen wir auf jeder Internetseite. Es steht für „Content Delivery Network“ (Inhaltsverteilungsnetzwerk) und bezieht sich auf eine Technologie, die zur effizienten Bereitstellung von Webinhalten verwendet wird. Ein CDN besteht aus einer Gruppe von Servern, die über verschiedene geografische Standorte verteilt sind. Das Hauptziel eines CDNs besteht darin, Webinhalte wie Bilder, Videos, Skripte, Stylesheets und andere statische Ressourcen näher an den Endbenutzern zu speichern und bereitzustellen, um die Ladezeiten von Websites zu verbessern und die Serverlast zu reduzieren.
2. Anpassung der Datenschutzerklärung
Die Datenschutzerklärung ist ein zentraler Bestandteil jeder Website und informiert die Nutzer darüber, wie ihre Daten gesammelt, verarbeitet und geschützt werden. Unser Team wird die relevanten Einträge in der Datenschutzerklärung anpassen, um den Anforderungen des EU-US Data Privacy Frameworks gerecht zu werden.
3. Anpassung des Cookie-Banners
Das Cookie-Banner spielt eine entscheidende Rolle bei der Einholung der Zustimmung zur Verwendung von Cookies und Tracking-Technologien. Die Staude GmbH wird das Cookie-Banner auf den Internetseiten anpassen, um sicherzustellen, dass es den Datenschutzvorgaben des Frameworks entspricht. Klare Informationen über die Art der verwendeten Cookies und die Option zur Anpassung der Einstellungen werden den Nutzern präsentiert. Denn die Einwilligung des Nutzers ist nach wie vor notwendig, wenn US-Dienste rechtskonform genutzt werden sollen.
Auch das Design des Cookie-Banners ändert sich. Wir berücksichtigen hierbei die neue Design-Richtlinie für Cookie-Banner des Bundesverbraucherschutzministeriums. Dadurch wird die Einwilligungsabfrage auf Cookie-Banner verbraucherfreundlich und ermöglicht eine echte Wahl des Nutzers. Die Design-Guidelines sollen zu mehr Vertrauen und Selbstbestimmung im Internet beitragen.
Angesichts der derzeitigen Situation in vielen Apotheken und Praxen arbeitet unser Team daran, die Anpassungen so kosteneffizient wie möglich umzusetzen. Dennoch wird eine einmalige Gebühr fällig. Wir informieren Sie per Brief darüber.