Aus des Privacy Shields

Was bedeutet das “Aus” des “Privacy Shields” für Unternehmen?

Mit der jüngsten Entscheidung des Europäischen Gerichtshofs (EuGH) wurde nach “Safe Harbor” nun auch dessen Nachfolgeabkommen, das “Privacy Shield” als rechtswidrig erklärt. Dieses sollte seit 2016 den Datenschutzaustausch zwischen der EU und den USA rechtssicher regeln.

Dieses Urteil bestärkt auf der einen Seite das hohe Datenschutzniveau der DSGVO, stellt aber Unternehmen vor extrem große Hürden, um eine rechtskonforme Übermittlung personenbezogener Daten an die USA auch weiterhin sicherzustellen.

 

Was war das Privacy Shield? 

Die DSGVO gilt grundsätzlich nur in der Europäischen Union. Werden Daten in das außereuropäische Ausland übermittelt, muss dies besonders gerechtfertigt und gesichert werden. 

Eine Möglichkeit hierzu stellt ein Angemessenheitsbeschluss der EU-Kommission dar, mit dem ein mit dem europäischen Recht vergleichbarer Datenschutzstandard in einem Drittstaat festgestellt wird. Diese Feststellung bezüglich der USA war das #privacyshield.

Was bedeutet das Ende des Privacy Shield? 

Die Verarbeitung personenbezogener Daten im außereuropäischen Ausland muss gesondert gesichert werden. Durch den Wegfall des Angemessenheitsbeschlusses müssen alternative Maßnahmen für die Legitimierung der Datenübertragung herangezogen werden. Dies kann einen erheblichen Mehraufwand bedeuten. 

 

Welche Alternativen stehen zur Verfügung?

Dies ist nicht leicht zu bewerten. Als Möglichkeit bietet die DSGVO die Standardvertragsklauseln. Diese sind von der Kommission genehmigte Klauseln, die für den Abschluss eines Vertrages zugrunde gelegt werden können und mit denen ein dem europäischen Standard entsprechendes Datenschutzniveau zwischen den Vertragsparteien vereinbart wird. Problematisch ist hierbei allerdings, dass wie in Deutschland und der EU auch in den USA zwingendes staatliches Recht nicht durch private Verträge gebeugt werden kann. 

So haben amerikanische Strafverfolgungsbehörden auf Basis des “Patriot Act” aus 2001 und dem “Cloud Act” aus dem Jahr 2018 die Möglichkeit, bei Unternehmen die Herausgabe von Daten zu verlangen.  

Ein weit verbreiteter Irrglaube dabei ist, dass Daten, die auf europäischen Servern gespeichert sind, von den Zugriffen durch amerikanische Ermittlungsbehörden geschützt sind. Das ist aber falsch! 

Denn der #cloudact ermöglicht den Behörden auch den Zugriff auf die in der EU gespeicherten Daten amerikanischer Unternehmen. Und nicht nur das, auch nicht amerikanische Unternehmen können durch den “Cloud Act” betroffen sein, sofern sie der amerikanischen Gerichtsbarkeit unterworfen sind, was zum Beispiel bei einer amerikanischen Tochtergesellschaft möglich ist.

 

Unsere Empfehlung?

Erst einmal Ruhe bewahren! Sie sind nicht allein mit dem Problem, denn die meisten Unternehmen in der EU nutzen amerikanische Produkte (z.B. Microsoft Office, Google Drive, One Drive, Microsoft Teams, Google Suite usw.), bei denen eine Übermittlung von Daten an die USA nicht ausgeschlossen werden kann.

Also alles sofort einstellen und wieder zu den Schiefertafeln zurückkehren? 

Ein klares “Ja”, wenn es datenschutzkonform sein soll!

Aber da dies für die meisten Unternehmen nun mal in einer immer digitaleren Welt nicht mehr möglich ist, empfehlen wir, sämtliche Datenverarbeitungen, in denen personenbezogene Daten in ein Drittland übermittelt werden, zu überprüfen. Gegebenenfalls müssen gesonderte Verträge oder Regelungen geschlossen werden. 

Darüber hinaus empfehlen wir, Datenverarbeitungen, falls möglich auf unbedenkliche Systeme umzustellen

Betreiben Sie Risikominimierung, das ist das Beste, was Sie aktuell machen können, bis die Politik hoffentlich zeitnah handelt, um für die Unternehmen wieder Rechtssicherheit bei der Übermittlung von Daten an ein Drittstaat wie die USA zu schaffen.

Kontaktiere Uns