Das Ende des Privacy Shield – das ist zu tun
Der Europäische Gerichtshof (EuGH) hat in seinem Urteil im Juli 2020 (Rechtssache C-311/18) die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA für ungültig erklärt. Die Richter meinten, dass dieses “Datenschutzschild” nicht (mehr) ausreicht, um personenbezogene Daten rechtskonform in die USA zu übertragen. Eine Alternative ist bislang nicht in Sicht. Das Urteil hat weitreichende Folgen für alle Unternehmen und andere Anbieter, die personenbezogene Daten aus der EU in Drittstaaten wie die USA übertragen.
Betroffen hiervon sind nicht nur die Nutzer verschiedener Social-Media-Plattformen wie Facebook, Twitter und Instagram, sondern auch Nutzer der Cloud-Anbieter wie Microsoft, Amazon und Google sowie Webseitenbetreiber, die entsprechende Daten in die USA oder ein anderes unsicheres Drittland weiterreichen. Deutsche Unternehmen finden sich plötzlich in einer rechtlich schwierigen Lage wieder und müssen nun unmittelbar tätig werden.
Was ist zu empfehlen?
Als Erstes empfehlen die Juristen und Datenschutzexperten, alle Hinweise auf das Privacy Shield aus Ihren Datenschutzerklärungen entfernen. Diese Hinweise berufen sich auf eine Vereinbarung, die für ungültig erklärt wurde.
Dann sind folgende Punkte zu prüfen:
- Klären Sie zuerst, ob Sie überhaupt personenbezogene Daten in die USA (oder ein anderes Drittland) übertragen. Diese Frage ist beispielsweise von all denjenigen zu bejahen, die eine Facebook-Seite, ein Twitter- oder Instagram-Profil oder einen YouTube-Kanal betreiben, Clouddienste wie Amazon Web Services (AWS), Dropbox, Google Cloud, Microsoft OneDrive und Office 365 nutzen oder eine Webseite bei wordpress.com betreiben.
- Falls Sie personenbezogene Daten in die USA (oder ein anderes Drittland) übertragen, lassen Sie durch einen Juristen und Datenschutzexperten klären, ob der 49 der DSGVO (Ausnahmen für bestimmte Fälle) für Ihren Fall eine Lösung darstellen kann, zumindest so lange, bis es wieder eine rechtsgültige EU-Richtlinie gibt.
- Prüfen Sie, ob bereits sog. Standardvertragsklauseln mit den einzelnen Anbietern vorliegen oder ob Sie solche individuell abschließen können.
Sollten US-Unternehmen wie Microsoft, Google oder Facebook solche Standardvertragsklauseln bereits anbieten, können Sie sich darauf berufen, dass diese konkret vereinbarten Standardvertragsklauseln noch in Kraft sind, bis ein Gericht sie für unwirksam erklärt. Sie müssen aber mit jedem einzelnen Anbieter abklären, ob er eine solche Standardvertragsklausel anbietet oder abschließt.Die Lösung über die Standardvertragsklauseln ist allerdings zum jetzigen Zeitpunkt unsicher und eher eine Übergangslösung. Denn der EuGH fordert, dass solche Standardvertragsklauseln nur dann als Rechtsgrundlage für Datentransfers in Drittländer dienen können, wenn das Datenschutzniveau auch tatsächlich gewahrt wird. Und das ist in jeder Hinsicht sehr fraglich.
Was Sie sonst tun können
- Bei Anbietern den Datenschutz abfragen
Einige Juristen empfehlen, den US-Unternehmen, deren Dienste Sie nutzen, diesen Fragebogenzukommen zu lassen. Damit wird überprüft, inwieweit die diese Unternehmen zumindest bestätigen, die europäischen Datenschutzanforderungen zu erfüllen. Wenn Sie irgendwann in die Verpflichtung eines Nachweises kommen, dann können Sie im Falle einer Bejahung der Fragen zumindest nachweisen, dass Sie aktiv auf die Unwirksamkeit des Privacy Shields reagiert zu haben. - Nach europäischen Servern fragen
Viele Anbieter, wie z. B. Amazon, Google oder Microsoft bieten die Möglichkeit an, dass Daten auf EU-Servern gespeichert werden. Ob dennoch personenbezogene Daten über den Atlantik wandern ist ungewiss, aber zu vermuten. Diese Vorgehensweise ist zumindest etwas sicherer. - Keine US-Dienstleister einsetzen
Setzen Sie keine Dienstleister ein, die Daten in den USA verarbeiten. Das ist oft leichter gesagt als getan. Alternativen zu Facebook, Instagram & Co. gibt es nicht. Hier kann man nur ganz aussteigen. Im Bereich Newsletter- und E-Mail Marketing gibt es deutsche Anbieter. Bei der Nutzung von Office-Software wird die Sache ebenfalls schwierig.
Was sagt Microsoft?
In einer Stellungnahme von Microsoft vom 20. Juli 2020 stellt der Konzern klar: „Gewerbliche Kunden können unsere Dienste weiterhin in Übereinstimmung mit dem europäischen Recht nutzen. Das Urteil des EuGH nimmt ihnen nicht die Möglichkeit, heute Daten zwischen der EU und den USA über die Microsoft Cloud zu übertragen.
„Wir bieten unseren Kunden bereits seit einigen Jahren überlappende Schutzmaßnahmen für den Datentransfer in Drittstaaten an, sowohl mit dem Abschluss der Standardvertragsklauseln (Standard Contractual Clauses, SCC) als auch mit dem EU-US-Privacy-Shield. Auch wenn mit der Entscheidung des EuGH die weitere Verwendung des Privacy Shield für ungültig erklärt wurde, bleiben die SCC weiterhin gültig. Unsere gewerblichen Kunden sind bereits durch die SCC geschützt.“
Microsoft habe seine vorhandenen Standardvertragsklauseln der Artikel-29-Datenschutzgruppe der EU zur Prüfung und Genehmigung vorgelegt. Die Artikel-29-Datenschutzgruppe hat demnach festgestellt, dass die Implementierung der Bestimmungen in den Vereinbarungen von Microsoft ihre strengen Anforderungen erfüllt. Microsoft erhielt als erster Clouddienstanbieter ein Bestätigungs- und Genehmigungsschreiben seitens der Datenschutzgruppe. Die Genehmigung bezog sich auf die in den Standardvertragsklauseln 2010/87/EU dargelegten Vereinbarungen, jedoch nicht auf die Anhänge, die die Übertragung von Daten und die vom Datenimporteur implementierten Sicherheitsmaßnahmen beschreiben. Die Anhänge können von der Datenschutzbehörde separat analysiert werden.
Weitere Infos zu den Microsoft-Standardvertragsklauseln stehen unter https://docs.microsoft.com/de-de/microsoft-365/compliance/offering-eu-model-clauses?view=o365-worldwide zur Verfügung.
Fazit
Die Ausgangslage ist einerseits klar und deutlich, anderseits auch rechtlich schwierig. Durch das Urteil des EuGH sind im Grunde fast alle US-Anbieter für deutsche und europäische Unternehmen tabu. Denn die amerikanischen Datenschutzbestimmungen sind keinesfalls ausreichend für die europäischen Behörden. Da man von heute auf morgen aber nicht erwarten kann, dass alle europäischen Unternehmen auf europäische Anbieter wechseln (die oft gar nicht gibt), sind Übergangslösungen wie zuvor beschrieben sinnvoll. Was in Zukunft passiert, weiß niemand. So sehr sich die US-Unternehmen auch anstrengen, solange die Regierung und die Behörden nicht ein grundsätzliches Umdenken einläuten, haben wir in Europa das Nachsehen.
Anmerkung: Dieser Artikel ist keine Rechtsberatung und auch nicht als solche zu verstehen. Es handelt sich um eine Zusammenstellung von Hinweisen und Ratschlägen erfahrener Juristen.
Trackbacks & Pingbacks
[…] hatten in unserem Blog im September 2020 einige Lösungsmöglichkeiten […]
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!