NEWS.

Anfang Mai 2023 wurde das Hinweisgeberschutzgesetz ratifiziert!

Unternehmen wie juristische Personen des öffentlichen Sektors ab 250 Mitarbeitenden müssen voraussichtlich ab Mitte Juni, mit 50-249 Mitarbeitenden ab 17.12.23 ein Hinweisgebersystem etabliert haben!

Hinweis: Eine Meldestelle lässt sich sowohl unternehmensintern, wie auch -extern realisieren!

Was ist jetzt zu tun?

• Wir empfehlen in jedem Fall eine zeitnahe sowie proaktive Umsetzung!
• Sie haben bereits einen internen Meldekanal im Einsatz?  Prüfen Sie, ob dieser den Anforderungen des neuen Hinweisgeberschutzgesetzes gerecht wird
•  Sie haben noch kein Hinweisgebersystem implementiert? Fangen Sie noch heute an, nach der richtigen Lösung für Ihre Organisation zu suchen und achten Sie bei der Auswahl Ihrer Whistleblowing-Software darauf, dass es in diesem Falle kein „one size fits all“ gibt. 

Fragen?

Sollten Sie Fragen zur Umsetzung der aktuellen Regulatorik oder der Einführung eines Hinweisgeber- und Beschwerdesystems in Ihrem Unternehmen haben, kommen Sie gerne direkt auf uns zu. 

Zurzeit kursiert eine Vielzahl an Abmahnungen wegen der Nutzung von Google Fonts.

Hintergrund ist ein Urteil des LG München vom 20.1.2022, wonach die Nutzung von Google Fonts auf Webseiten datenschutzwidrig und nicht durch das berechtigte Interesse nach Art. 6 Abs. 1 f) DSGVO abdeckbar ist.

Worin genau liegt das Problem?

Wenn Google Fonts (Schriftart) vom Browser des Webseitenbesuchers angefordert werden, erfasst Google die an Google übermittelte IP-Adresse des Users und verwendet diese für Analysezwecke (z.B. zur Messung der Beliebtheit einer bestimmten Schriftart). Google sieht sich in diesem Zusammenhang als „Verantwortlicher“ im Sinne der DSGVO. Die Datenverarbeitung findet dabei in den USA statt.

Google Fonts - DSGVO-konform: So geht's!

Basierend auf dem Urteil, gibt es aktuell zwei Möglichkeiten Google Fonts DSGVO-konform einzusetzen:

•  Sichere Lösung: Lokales Hosting von Google Fonts (oder generell anderer lizensierter Schrifttypen) durch Ihr Unternehmen als „Verantwortlicher“
• Unsichere Lösung: Einbindung der Google Fonts seitens Google als „Verantwortlicher“. Als Rechtsgrundlage kann hier nur die Einwilligung dienen. Hierfür ist Google Fonts in einem auf der Webseite integrierten Consent Management Tool mit einzubinden. Hierbei ist folgendes dringend zu beachten: 

1. Die Kriterien für eine rechtsgültige Einwilligung im Sinne der DSGVO müssen erfüllt sein. 
2. Darüber hinaus muss die Einwilligung des Webseitenbesuchers eingeholt werden, bevor ein URL Call von GoogleFonts zur Google Fonts API stattfindet.

Bei Bedarf überprüfen wir gerne Ihre Website(n) auf datenschutzkonformen Einsatz eingesetzter Cookies und Dienste. Sprechen Sie uns an.

Sie haben bereits ein Abmahnschreiben erhalten und wissen nicht, wie sie darauf reagieren sollen? Kurzfristiges Handeln ist ratsam. Nehmen Sie ebenfalls gerne Kontakt zu uns auf.

Wie Verbände den Datenschutz mitgestalten können: Verhaltensregeln gem. Art. 40 DSGVO

Die Aufzeichnung des Webinars kann hier eingesehen werden: sds-links.de/CoC 

In Art. 40 und 41 bestimmt die DSGVO, dass Verbände Verhaltensregeln zur Datenverarbeitung („Codes of Conduct“) ausarbeiten können, mit denen die Anwendung des EU-Datenschutzrechts in einem Sektor präzisiert wird. Nach Genehmigung durch die zuständige Datenschutzaufsichtsbehörde erlangen die Regeln für den Wirtschaftszweig allgemeine Gültigkeit – und dies sogar EU-weit, falls die Regeln von der Europäischen Kommission bestätigt werden. Die Verhaltensregeln können eine Vielzahl von Verarbeitungen betreffen. Mit der Entwicklung von Codes of Conduct können Wirtschaftsvereinigungen für ihre Mitglieder aktiv mitgestalten, wie das Datenschutzrecht konkret umgesetzt wird, und damit Rechtssicherheit schaffen.

Für alle Interessierten möchten wir daher an dieser Stelle auf die Veranstaltung „Datenschutz am Mittag“ der „Stiftung Datenschutz verweisen, welche am 5. April 2022 ab 13 Uhr genau dieses Thema sowohl aus Sicht eines Verbandes (hier: Bundesverband Credit Management eV) als auch aus Sicht der Aufsichtsbehörde (hier: Hamburger Beauftragte für Datenschutz und Informationssicherheit) näher beleuchten wird!

Wir freuen uns über rege Teilnahme!

Anmeldung hier: https://sds-links.de/CoC

Aufgrund der aktuell dramatischen Ereignisse und Entwicklungen in der Ukraine, wurde vom nationalen IT-Krisenreaktionszentrum ein Sonderbericht veröffentlicht. Jenseits der aktuellen Kampfhandlungen in Form von konventioneller Kriegsführung, erweitert sich das Schlachtfeld auch massiv auf den digitalen Raum. 

Die IT-Bedrohungslage wurde deswegen vom BSI auf Stufe 3 "Orange" von 4 gesetzt.

Was bedeutet das für die Cybersicherheit in Ihrem aktuellen Geschäftsgeschehen?

• Seien Sie wachsam im Umgang mit digitalen Medien und Arbeitsmitteln. Als größte Gefahren (sog. „Angriffsvektoren“) gelten im geschäftlichen Alltag nach wie vor E-Mails (Anhänge, Links, dubiose Inhalte etc.), aber auch fremde USB-Sticks/-Geräte, gefälschte Webseiten und Fremde Netzwerke (WLAN-Hotspots / LAN).
• Überprüfen und schärfen Sie Ihre Schutzmaßnahmen  
• Legen Sie klare Verantwortlichkeiten fest
• Sensibilisieren Sie Ihre Mitarbeiter und
• Erstellen Sie einen Notfallplan

Wie immer gilt: 

• Sollte Ihnen oder Ihren Mitarbeitern etwas dubios vorkommen, seien Sie misstrauisch, prüfen sie mehrmals und genau - im Zweifel löschen bzw. vermeiden!
• Sollten Sie Auffälligkeiten beobachten oder Fragen haben, stehen wir Ihnen gerne über die bekannten Kanäle zur Verfügung.

Sie wünschen Unterstützung, z.B. bei der Sensibilisierung Ihrer Organisation, dann sprechen Sie uns gerne an. 

Die Einhaltung von Gesetzen, Regeln und Normen (extern wie intern) ist eine der grundlegenden Säulen für das erfolgreiche Bestehen Ihres Unternehmens im Bereich Datenschutz und somit auch im Markt.

Nutzen Sie daher unseren Datenschutz Fitness-Check um zu überprüfen, ob Sie datenschutzrechtlich gut aufgestellt sind 🧐

Klicken Sie hier um den Fitness Check jetzt durchzuführen

Seit bestehen der DSGVO wurden knapp 8 Mrd. EURO Bußgelder verhängt. Alleine im dritten Quartal 2021 waren es gut eine Mrd. EURO... Es macht daher durchaus Sinn, sich einen Überblick zu verschaffen, wo Sie stehen!

Das neue Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG), welches zum 01.12.2021 in Kraft getreten ist, beinhaltet neue Regelungen für Cookies und Tracking und bündelt dabei u.a. die Datenschutzbestimmungen des (Telemediengesetzes) TMG und des Telekommunikationsgesetzes (TKG), einschließlich der Bestimmungen zum Schutz des Fernmeldegeheimnisses. 

Was ist aus Sicht von Unternehmen / Behörden zu tun?

1. Überprüfung der Webseiten

-  Einwilligung als Rechtsgrundlage

Die Webseiten müssen auf die Nutzung von Cookies und Trackingwerkzeugen überprüft werden. Soweit Cookies etc. unbedingt erforderlich (= technisch notwendig; z.B. Warenkorbcookies) sind, ist keine Einwilligung erforderlich. Für den Einsatz der übrigen Cookies und Trackingwerkzeuge (betrifft auch selbstgehostete Reichweitenmessungs-Tools, z.B. Matomo) muss beim Nutzer eine Einwilligung abgefragt werden. 

- Datenschutzerklärung

Die durchgeführten Änderungen bzgl. einer erforderlichen Einwilligung als Rechtsgrundlage sind entsprechend in der Datenschutzerklärung anzupassen:

-> aus Art 6 Abs. 1 f DSGVO wird Art. 6 Abs. 1 a DSGVO 

-> aus Widerspruch wird Widerruf

- Cookie-Banner

Die neuen einwilligungspflichtigen Tools sind in den Cookie-Banner aufzunehmen, da diese nicht mehr unter der Kategorie „essentiell“ bzw. „technisch notwendig“ gelistet werden können.

2. Überprüfung der Technischen und organisatorischen Maßnahmen (TOMs)

Die TOMs sind zu überprüfen (z.B. Verschlüsselungsverfahren) und ggf. einzurichten (§ 19 TTDSG).

3. Überprüfung von Dokumenten / Richtlinien

Überprüfung vorhandener Dokumente bzgl. des Fernmeldegeheimnisses, d. h. Richtlinien die einen Verweis auf den alten § 88 TKG enthalten: 

-> aus § 88 TKG wird § 3 TTDSG

4. Überprüfung der Ist-Situation bzgl. Privatnutzung geschäftlichen Equipments 

Es empfiehlt sich auch weiterhin eine strikte Trennung privater und geschäftlicher Nutzung geschäftlicher Endeinrichtungen, Software, etc. Sollte diese Trennung nicht gewünscht sein, so ist die vorhandene Dokumentation hinsichtlich der aktuellen Rechtsprechung zu überprüfen. 

Sie wünschen Unterstützung bei der Überarbeitung Ihrer Dokumentation, sprechen Sie uns gerne an.

WHISTLEBLOWER HOTLINE

(in Ergänzung zu unseren News vom März 2021)

Die EU-Whistleblowing-Richtlinie (umzusetzen bis 17.12.2021) bringt eine Vielzahl relevanter Neuerungen mit sich und stellt Unternehmen damit vor neue Herausforderungen.

Ein geeignetes internes Hinweisgebersystem, das ständig verfügbar ist, die Option auf Anonymität bietet, in den relevanten Sprachen angeboten wird und mit verständlichen Erklärungen ausgestattet ist, ist unabdingbar.

Unternehmen sollten sich daher frühzeitig mit den Inhalten der Richtlinie sowie der Einrichtung eines Hinweisgebersystems vertraut machen und mit der Konzeptionierung und Implementierung des Hinweisgebersystems beginnen.

Kontaktieren Sie uns für mehr Informationen 

• Was die rechtlichen Grundlagen sind
• Welche Meldekanäle einzurichten sind
• Welche Sanktionen / Risiken bei Missachtung bestehen
• Was betroffene Unternehmen machen sollten

Mit dem Betriebsrätemodernisierungsgesetz wurde der seit dem 18. Juni 2021 geltende § 79a BetrVG eingefügt, welcher festlegt, dass der Arbeitgeber für die Datenverarbeitung des Betriebsrats verantwortlich ist. 

Was gilt es zu beachten? 

1. Neue Regelung des BetrVG

Auch, wenn § 79a Satz 2 BetrVG ausdrücklich klargestellt, dass der Arbeitgeber für die Datenverarbeitung des Betriebsrats verantwortlich ist, machen die übrigen Bestimmungen des § 79a BetrVG jedoch deutlich, dass der Betriebsrat dennoch nicht wie ein gewöhnlicher Teil eines Verantwortlichen behandelt werden soll, so legen Satz 1 bzw. 3 folgendes fest: 

• Der Betriebsrat hat selbst die Datenschutzbestimmungen einzuhalten. 
• Es gilt ein Kooperationsgebot zwischen Betriebsrat und Arbeitgebe, dass beide Parteien zur gegenseitigen Unterstützung verpflichtet (z.B. bei Verarbeitungsverzeichnis und TOMs). 

2. Bewertung

Durch die Verpflichtung des Betriebsrats, sich an die Datenschutzbestimmungen zu halten sowie das Kooperationsgebot wird eine Sonderrolle für den Betriebsrat geschaffen. Dies scheint einerseits notwendig, da der Betriebsrat aufgrund seiner innerorganisatorischen Selbständigkeit und Weisungsfreiheit auch nicht wie ein gewöhnlicher Teil eines Arbeitgebers behandelt werden kann. Andererseits wird dadurch ein Konstrukt erschaffen, das so nicht vereinbar ist mit den datenschutzrechtlichen Prinzipien und somit zwangsweise zu Problemen und Fragen führen wird. So ist nicht festgelegt, wie die Kooperation konkret zu erfolgen hat. Auch ist nicht geregelt, was passiert, wenn sich der Betriebsrat weigert, zu kooperieren und der Arbeitgeber dadurch seinen Pflichten als Verantwortlicher nicht erfüllen kann (insbesondere Betroffenenrechte oder Umsetzung angemessener Sicherheitsstandards). Der Gesetzgeber weist die Haftung für Datenschutzverstöße im Tätigkeitsbereich des Betriebsrates dem Arbeitgeber in seiner Rolle als Alleinverantwortlicher für die Datenverarbeitung zu, ohne dass der Arbeitgeber dessen Verstöße unterbinden kann. Damit drohen empfindliche Schutzlücken.

3. Handlungsempfehlungen

Um möglichst viele der vorstehend beschriebenen Unsicherheiten zu beseitigen und Haftungsrisiken für den Arbeitgeber zu verringern, sollten Arbeitgeber und Betriebsrat eine Betriebsvereinbarung über ihre datenschutzrechtliche Zusammenarbeit abschließen. In der Betriebsvereinbarung sollten insbesondere folgende Themenbereiche geregelt werden:

• Unterstützung des Arbeitgebers durch den Betriebsrat bei Erfüllung der Betroffenenrechte
• Bereitstellung der für das Verarbeitungsverzeichnis und die Datenschutzhinweise erforderlichen Informationen durch den Betriebsrat
• Melde- und Benachrichtigungspflichten seitens des Betriebsrats im Fall eines Datenschutzverstoßes
• Bestimmungen über die technischen Methoden der Verarbeitung sowie alle darauf bezogenen technischen und organisatorischen Maßnahmen zur Datensicherheit
• Regelungen zur Beratung und Kontrolle des Betriebsrates durch den betrieblichen Datenschutzbeauftragten

Für weitere Fragen kontaktieren Sie uns gerne.

Am 28.6.2021 wurde der UK-Angemessenheitsbeschluss durch das EU-Parlament  ratifiziert. Hiernach wird das Vereinigte Königreich im Sinne der DSGVO zum 01.07.2021 gemäß Art. 45 DSGVO als sicheres Drittland eingestuft, sodass für Datentransfers dann keine besonderen Genehmigungs- oder Schutzpflichten der Datenverantwortlichen mehr erforderlich sind!

Einzig Datenübermittlungen zu Zwecken der Eiwanderungskontrolle wurden vom Anwendungsbereich des Angemessenheitsbeschlusses ausgenommen. 

Die Festlegungen des Angemessenheitsbeschlusses gelten zunächst für 4 Jahre.

Seit 1. Juni versenden Datenschutzaufsichtsbehörden mehrseitige Fragebögen an ausgewählte Unternehmen, um die Durchsetzung der Anforderungen des Europäischen Gerichtshofs in seiner Schrems-II-Entscheidung vom 16. Juli 2020 zu überprüfen! (siehe unseren News Blog vom Juli 2020)

Im Fokus stehen hierbei die Datenübermittlungen der Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten).

Bei den den versandten Fragebögen geht es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten.

In Abhängigkeit Ihres Haupt-Geschäftsmodells erhalten angeschriebene Unternehmen daher voraussichtlich EINEN der folgenden Fragebögen:

• Einsatz von Dienstleistern zum E-Mail-Versand

• Einsatz von Dienstleistern zum Hosting von Internet-Seiten

• Einsatz von Webtracking

• Einsatz von Dienstleistern zur Verwaltung von Bewerberdaten

• Konzerninterner Austausch von Kundendaten und Daten der Beschäftigten

Nach unserer Information versendet die Aufsichtsbehörde Hamburg aktuell nur einen der drei zuletzt genannten Fragebögen...   

UPDATE: In diesem Zusammenhang möchten wir darauf hinweisen, dass die EU-Kommission am 4. Juni die neuen Europäischen Standardvertragsklauseln - auch in deutscher Sprache - veröffentlicht hat (siehe hier) 

Mit dem „Planet 49“ Urteil des EUGH vom 1. Oktober 2019 wurde erstmals gerichtlich festgestellt, dass Cookies und Trackingtools, die nicht technisch notwendig sind, nur mit Einwilligung des jeweiligen Nutzers gesetzt werden dürfen (siehe unsere News von Juni 2020).

Nach dem Urteil des LG Rostock vom 15. September 2020 (Az. 3 O 762/19) sowie der aktuellen Handreichung der Landesbeauftragten für Datenschutz in Niedersachsen („LfDN“) mit dem Titel „Datenschutzkonforme Einwilligung auf Webseiten – Anforderungen an Consent-Layer“ (von November 2020), liegen nunmehr erste konkretere Vorgaben zur Ausgestaltung von Cookie-Bannern vor. Hiernach wird Webseiten-Betreibern dringend folgendes empfohlen:

• Nutzer müssen eine unkomplizierte und erkennbare Möglichkeit erhalten, ihre Einwilligung zu verweigern.
• Neben einem „Zustimmungs-Button“, mit dem der Nutzer sämtliche einwilligungsbedürftigen Cookies aktivieren kann, muss auch ein „Verweigerungs-Button“ angeboten werden, mit dem der Nutzer den Einsatz von einwilligungsbedürftigen Cookies ablehnen kann bzw. mit dem er den Einsatz, der von ihm spezifisch ausgewählten einwilligungsbedürftigen Cookies bestätigen kann.
• Weiterhin sollte der „Verweigerungs-Button“ in Schriftgröße und Farbwahl klar erkennbar und nicht auf einer nachgelagerten Ebene „versteckt“ sein.
• Vertretbar ist, wenn „Verweigerungs-Button“ und „Zustimmungs-Button“ mit unterschiedlichen Farben hinterlegt werden, solange der „Verweigerungs-Button“ weiterhin klar erkennbar ist!
• Darüber hinaus sollten Nutzer eine leicht auffindbare Möglichkeit haben, eine erteilte Einwilligung zu widerrufen. Dies kann z.B. mit einem Link mit der Bezeichnung „Cookie-Einstellungen“ im Header oder Footer der Webseite sichergestellt werden, über welchen der Nutzer den Cookie-Banner erneut aufrufen und dort seine Einwilligungs-Einstellungen ändern kann. In jedem Fall sollte der genannte Link auch in die Datenschutzerklärung integriert werden.

Um Ansprüche seitens Betroffener, Klagen durch Verbraucherschutzverbände, oder Maßnahmen durch Aufsichtsbehörden vorzubeugen, sollten Webseiten-Betreiber daher sorgfältig prüfen, ob ihr aktueller Umgang mit Cookies o.g. Vorgaben entspricht. Dies gilt auch, wenn externe Tools zur Einholung und Verwaltung der eingesetzten Cookies verwendet werden, da ansonsten das Risiko besteht, dass die Einwilligung unwirksam und damit die gesamte Datenverarbeitung unrechtmäßig ist. 

Viele Unternehmen verlieren in der aktuellen Situation den Überblick, wie sicher Ihre Daten im Rahmen der zunehmenden Home-Office Aktivitäten erhoben und verarbeitet werden. Zudem sind sich viele Mitarbeiter der erhöhten Datenschutzanforderungen an das Home Office oft nicht bewusst.

Um etwaigen Mißständen sowie potentiellen Datenpannen vorzubeugen, ermöglicht eine, entsprechende Mitarbeiter Befragung, einen guten Überblick zu erhalten und ggf. Verbesserungsbedarf und Schwachstellen  aufzudecken.  

Unsere entsprechend aufgesetzte und zugleich die Mitarbeiter sensibilisierende Umfrage (via MS-Teams) für Mitarbeiter und Führungskräfte, bildet in diesem Zusammenhang sowohl die Nutzung privater wie auch firmeneigener Arbeitsgeräte zu geschäftlichen Zwecken im Homeoffice, auch bei nur vorübergehender Arbeit im Homeoffice, ab.

Eine kurze Testausgabe (7 Fragen) können Sie hier einsehen: Muster-Umfrage

Wenn Sie die komplette Umfrage (aktuell bis zu 47 Fragen) mit Ihren Mitarbeitern durchführen und eine Auswertung sowie Empfehlungen für Ihr Unternehmen erhalten möchten, dann sprechen Sie uns gerne an! 

Die Umfrage lässt sich selbstvertsändlich bei Bedarf auch auf die spezifischen Anforderungen Ihres Unternehmen anpassen.

Neue EU-Richtlinie bringt Unternehmen, sowie Behörden und Kommunen unter Zugzwang

Die EU hat in einer neuen Richtlinie festgelegt, dass 2021 alle Unternehmen ab 50 Mitarbeitern, sowie Behörden und Kommunen ab 10.000 Einwohnern sichere Kanäle für die Meldung von Gesetzesverstößen einrichten müssen. Fehlen diese Kanäle, drohen Strafen wie bei DSGVO-Verstößen.

Wir bieten Ihnen mit der DIGITALEN HINWEISGEBER-LÖSUNG eine Plattform zur Erfüllung Ihrer gesetzlichen Compliance-Auflagen.

Einen Überblick über die Funktionalitäten der digitalen Lösung erhalten Sie hier: 

• Flyer 
• Video

Sie interessieren Sie für unsere Hinweisgeberlösung? Wir freuen uns auf Ihre Kontaktaufnahme!

In letzter Zeit häufen sich die Beschwerden über dubiose Abmahnanwälte, welche Klienten vertreten, die sich einzig und allein für die Wahrnehmung Ihrer Betroffenenrechte (hier: Auskunftsersuchen) für einen Newsletter angemeldet haben. 

Es läuft meistens so: 

• Betroffener abonniert Newsletter einer Firma unter einer eMail-Adresse „X“ 
• Firma erhält nach einiger Zeit ein Auskunftsersuchen (meistens per Fax) von Betroffenem 
• Firma überprüft Ihre Datenbestände anhand der im Anschreiben enthaltenen Stammdaten (diesen ist nicht unmittelbar die für den Newsletter verwendete eMail-Adresse „X“ zu entnehmen) 
• Firma erteilt eine falsche bzw. nicht vollumfängliche Auskunft an den Betroffenen
• Firma erhält Schreiben (enthält Forderungen) vom Rechtsanwalt im Auftrag des Betroffenen

Fazit: Sollten Sie ein Auskunftsersuchen nach o.g. Muster erhalten, so informieren Sie zunächst bitte stets zeitnah Ihren Datenschutzbeauftragten und stimmen die weitere Vorgehensweise mit ihm ab.

Wie der EuGH in seinem Urteil (C-311/18) vom 16.7.20 entschieden hat, ist die weitere Verwendung des EU-US-Privacy-Shield als Grundlage zur Sicherstellung eines angemessenen Datenschutzniveaus durch entsprechend zertifizierte US-Unternehmen nicht mehr möglich. 

Nachstehend ein paar Tipps, um mit der derzeit bestehenden Rechtsunsicherheit umzugehen: 

Kein Einsatz von US-Dienstleistern / US-Subunternehmen: Sollten Sie aktuell Dienstleister mit Sitz bzw. Datenverarbeitung in den USA einsetzen, so wechseln Sie diesen, sofern möglich. Dies schließt auch den Ausschluss eines Einsatzes von US-Subunternehmen des beauftragten Dienstleisters mit ein. 

1. Einsatz von EU-Servern: Wenn Sie weiter US-Dienstleister nutzen möchten, fragen Sie Ihre Dienstleister nach der Möglichkeit des Einsatzes von EU-Servern, auf denen Ihre Daten verarbeitet werden. Bei vielen Anbietern ist dies möglich. Hier besteht zwar eine Rechtsunsicherheit, aber es ist eine sicherere Variante als die Daten in den USA zulassen.
2. Anpassung Ihrer Datenschutzerklärungen und Verträge: Passen Sie Ihre Dokumente entsprechend der aktuellen Situation an. Entfernen Sie dabei beispielsweise Hinweise auf das Privacy-Shield.
3. Einwilligung als Alternative: Zur Risikominimierung können Sie auch die transparente Einwilligung der Nutzer für den Einsatz von US-Dienstleistern einholen, wobei Sie dann allerdings auf die Risiken hinweisen müssen.

Noch ein Hinweis zur Verwendung der Standardvertragsklauseln (Standard Contractual Clauses - SCC): 

Laut EuGH gelten die Standardvertragsklauseln nur dann als Rechtsgrundlage für Datentransfers in Drittstaaten, wenn das Datenschutzniveau dann auch tatsächlich gewahrt wird, was lt. EuGH in den USA nicht der Fall ist. 

Insbesondere beim Einsatz von US Dienstleistern wie Microsoft, Google, Facebook und Co. ist Handlungsbdarf gefordert. Sprechen Sie uns an. Wir helfen Ihnen gerne weiter.

Wie der Bundesgerichtshof in seinem Urteil (I ZR 7/16) vom 28.5.20 entschieden hat, müssen Nutzer im Internet Cookies aktiv zustimmen. Ein voreingestellter Haken ist nicht zulässig.

Hinweis: Die vielerorts noch verwendeten Cookie-Banner (Hinweis-Banner) sollten spätestens nach dem nun gefällten Urteil von den Webseiten verschwinden und durch datenschutzkonforme Lösungen ersetzt werden.

Sofern Sie nicht bereits über ein aktives Cookie-Consent-Management auf Ihren Internetseiten verfügen, sollten Sie spätestens jetzt handeln. Hierfür bietet sich neben einer eigenen Lösung auch der Einsatz eines bereit am Markt verfügbaren Tools an. Nachstehend eine kleine unsortierte Auswahl einiger Anbieter:

• Borlabs Cookie
• Consentmanager
• User Centrics
• Cookie Information
• Cookie-Bot
• Cookie-First
• Piwik Pro
• Quantcast
• Trustarc
• Conversant
• Oil

Bei Rückfragen hierzu sprechen Sie uns gerne an.