Einleitung
In der heutigen digitalen Landschaft sind Datenschutz und Datensicherheit zu zentralen Anliegen für Unternehmen geworden, die in der Europäischen Union (EU) und den Vereinigten Staaten (USA) tätig sind. Die Datenschutz-Grundverordnung (DSGVO) der EU hat strenge Richtlinien für den Umgang mit personenbezogenen Daten festgelegt, und Unternehmen müssen die Konformität sicherstellen, um hohe Bussen zu vermeiden.
Die Komplexität der DSGVO-Konformität zu bewältigen, kann jedoch herausfordernd sein – besonders für Website-Betreiber:innen und Unternehmen, die US-basierte Tools und Dienste nutzen.
Die Herausforderung transatlantischer Datenübermittlungen
Das Thema der Datenübermittlung zwischen der EU und den USA rückte in den Vordergrund, als der Europäische Gerichtshof das EU-U.S.-Privacy-Shield-Abkommen 2020 für ungültig erklärte. Diese Entscheidung liess Website-Betreiber:innen und Unternehmen in einer rechtlichen Grauzone zurück, da die Übermittlung personenbezogener Daten an US-basierte Unternehmen potenziell rechtswidrig wurde.
Der Bedarf an einem neuen Rahmen, der Datenschutz und Datensicherheit gewährleistet und zugleich transatlantische Datenübermittlungen ermöglicht, wurde offensichtlich.
Das EU-U.S. Data Privacy Framework
Nach Jahren bilateraler Verhandlungen und Gespräche verkündeten die Europäische Kommission und US-Präsident Joe Biden im Frühling 2022 einen Durchbruch in Datenschutzfragen. Das führte zur Entwicklung des EU-U.S. Data Privacy Framework, das die Europäische Kommission am 10. Juli 2023 offiziell veröffentlichte.
Der neue Rahmen bietet eine solide rechtliche Grundlage, damit Unternehmen personenbezogene Daten unter bestimmten Bedingungen von der EU in die USA übermitteln können.
Zentrale Merkmale des Data Privacy Framework
Das Data Privacy Framework soll in den USA ein Datenschutzniveau etablieren, das als gleichwertig zur DSGVO gilt. Es enthält mehrere wichtige Bestimmungen, um die Privatsphäre und Sicherheit personenbezogener Daten zu gewährleisten:
- Teilnahme von US-Unternehmen: US-Unternehmen können am Data Privacy Framework teilnehmen, indem sie über das US-Handelsministerium einen Selbstzertifizierungsprozess durchlaufen. Nach der Zertifizierung werden diese Unternehmen auf der Website des Data Privacy Framework gelistet, was für Transparenz und Rechenschaft sorgt.
- Jährliche Rezertifizierung: Zertifizierte US-Unternehmen müssen ihre Zertifizierung jährlich erneuern, um die Konformität mit dem Data Privacy Framework aufrechtzuerhalten. Das stellt die fortlaufende Einhaltung der Datenschutzanforderungen sicher.
- Rechte der betroffenen Personen: Das Data Privacy Framework anerkennt die Rechte der betroffenen Personen in der EU und bietet ihnen wirksame Mechanismen, um ihre Datenschutzrechte durchzusetzen. Dazu gehört die Möglichkeit, im US-Rechtssystem Rechtsbehelfe und Abhilfe zu suchen.
- Beschränkungen des Zugriffs durch US-Behörden: Das Data Privacy Framework legt Beschränkungen für den Zugriff auf personenbezogene Daten durch US-Nachrichtendienste fest. Es etabliert einen notwendigen und verhältnismässigen Standard für solche Zugriffe und sorgt für ein Gleichgewicht zwischen nationalen Sicherheitsinteressen und individuellen Datenschutzrechten.
Auswirkungen auf Webflow-Websites
Webflow, eine beliebte Plattform für Website-Entwicklung, war von der Ungültigerklärung des EU-U.S. Privacy Shield und den nachfolgenden Entwicklungen direkt betroffen. Mit der Einführung des EU-U.S. Data Privacy Framework können Website-Betreiber:innen, die ihre Websites auf Webflow hosten, die rechtliche Landschaft nun mit grösserer Sicherheit und Zuversicht navigieren.
Webflows Konformität mit dem Data Privacy Framework
Webflow hat proaktive Schritte unternommen, um die Konformität mit dem Data Privacy Framework sicherzustellen. Seit dem 17. Juli 2023 ist Webflow auf der offiziellen Website des Data Privacy Framework gelistet, was die Zertifizierung unter dem neuen Rahmen belegt. Diese Zertifizierung gibt Website-Betreiber:innen die Gewissheit, dass Webflow die nötigen Datenschutzanforderungen erfüllt.
Wichtige Überlegungen für Webflow-Nutzer:innen
Das Data Privacy Framework stellt zwar die rechtliche Klarheit für Webflow-Nutzer:innen wieder her, doch es ist wichtig zu bedenken, dass für Website-Betreiber:innen und ihre Kund:innen bestimmte Pflichten bestehen bleiben. Die folgenden Punkte solltest du beachten:
- Auftragsverarbeitungsvertrag (AVV): Website-Betreiber:innen müssen Webflows Data Privacy Addendum, auch bekannt als Auftragsverarbeitungsvertrag, unterzeichnen, bevor sie ihre Websites veröffentlichen. Dieser Vertrag legt die Verantwortlichkeiten und Pflichten beider Parteien bezüglich der Verarbeitung personenbezogener Daten fest.
- Datenschutzerklärung: Website-Betreiber:innen sollten Webflow als Hosting-Anbieter in ihrer Datenschutzerklärung aufführen. Das sorgt für Transparenz und informiert Nutzer:innen über die Beteiligung von Webflow an der Verarbeitung ihrer personenbezogenen Daten.
- Cookie-Einwilligung: Es ist entscheidend, ein geeignetes Cookie-Einwilligungstool einzusetzen, das optionale Dienste und Cookies blockiert, bis die Einwilligung der Nutzer:innen vorliegt. Das hilft, die DSGVO-Anforderungen einzuhalten und die Datenschutzpräferenzen der Nutzer:innen zu respektieren.
- Schriftarten-Nutzung: Um die Konformität zu wahren – besonders in Bezug auf Drittanbieter-Schriftdienste wie Google Fonts –, sollten Website-Betreiber:innen Schriften lokal einbetten oder manuell hochladen, statt sich auf externe Quellen zu verlassen.
- Weitere Auftragsverarbeitungsverträge: Bieten Website-Betreiber:innen Dienste an, bei denen sie auf personenbezogene Daten von Nutzer:innen zugreifen, müssen sie mit ihren Kund:innen Auftragsverarbeitungsverträge abschliessen. Diese Verträge legen die Verantwortlichkeiten und Pflichten jeder Partei bezüglich der Verarbeitung personenbezogener Daten fest.
- Fortlaufende Datenschutzmassnahmen: Website-Betreiber:innen und Unternehmen müssen weiterhin sorgfältig mit personenbezogenen Daten umgehen und die in der DSGVO festgelegten Grundsätze einhalten. Dazu gehört, geeignete technische und organisatorische Massnahmen umzusetzen, um personenbezogene Daten vor unbefugtem Zugriff oder Verstössen zu schützen.
Fazit
Das EU-U.S. Data Privacy Framework bietet eine dringend benötigte Lösung für Website-Betreiber:innen und Unternehmen, die bei der Nutzung US-basierter Tools und Dienste die DSGVO einhalten möchten.
Die Zertifizierung von US-Unternehmen wie Webflow unter dem Rahmen stellt sicher, dass die Anforderungen an Datenschutz und Datensicherheit erfüllt werden.
Dennoch bleibt es für Website-Betreiber:innen unerlässlich, ihre Pflichten zu erfüllen – etwa Auftragsverarbeitungsverträge zu unterzeichnen und Datenschutzerklärungen aktuell zu halten. Indem Unternehmen die DSGVO-Konformität im Rahmen des neuen Data Privacy Framework annehmen, schaffen sie Vertrauen bei ihren Nutzer:innen und stärken den Schutz personenbezogener Daten bei transatlantischen Datenübermittlungen.
::: Haftungsausschluss
Dieses Dokument dient ausschliesslich zu Informationszwecken und stellt keine Rechtsberatung dar. Ich bemühe mich, korrekte und aktuelle Informationen bereitzustellen, gebe jedoch keinerlei ausdrückliche oder stillschweigende Zusicherungen oder Gewährleistungen hinsichtlich der Vollständigkeit, Richtigkeit, Zuverlässigkeit, Eignung oder Verfügbarkeit der in diesem Dokument enthaltenen Informationen ab. Jegliches Vertrauen, das du in solche Informationen setzt, erfolgt daher ausschliesslich auf dein eigenes Risiko.
Dieses Dokument begründet kein Mandatsverhältnis, und nichts in diesem Dokument ist als Rechtsberatung oder Rechtsgutachten zu spezifischen Sachverhalten oder Umständen auszulegen.
:::