Folgen des EuGH-Urteils Ende des Privacy Shield: 4 Maßnahmen zur Datenschutz-Sicherung

Zugehörige Themenseiten:
Adressmanagement, Büroorganisation, Datenschutz, Digitalisierung, E-Mail-Marketing, IT-Sicherheit, Onlinemarketing, Smartphone, Social Media und Telekommunikation

Die DSGVO regelt den Datenschutz für Europa – und der Privacy Shield den transatlantischen Datenverkehr zwischen den USA und der EU. So war es bis zum 12. Juli 2020, dann erklärte der EuGH das das Privacy-Shield-Abkommen für ungültig. Für Unternehmer bedeutet das: Überprüfen Sie Ihren Datenschutz!

Privacy Shield, Datenschutz, DSGVO
Am 16. Juli 2020 erklärte der EuGH das Privacy-Shield-Abkommen für ungültig. Nach Ansicht der Richter bietet das Abkommen keinen ausreichenden Schutz personenbezogener Daten von EU-Bürgern. - © putilov_denis - stock.adobe.com

Eigentlich hätte das transatlantische Datenschutzabkommen Privacy Shield dafür sorgen sollen, dass personenbezogene Daten europäischer Bürger einen angemessenen Schutz erfahren, auch wenn diese in die USA übermittelt oder auf dortigen Cloudspeichern gelagert werden. Doch bereits am 25. Januar 2017 beschnitt US-Präsident Donald Trump via Dekret die im Abkommen vom 12. Juli 2016 garantierten Rechte aller nicht-US-Bürger und sicherte den US-Geheimdiensten den uneingeschränkten Zugriff auf jeglichen Datenverkehr aus dem Ausland.

Etwas mehr als drei Jahre später erklärte der Europäische Gerichtshof (EuGH) am 16. Juli 2020 den Privacy Shield deshalb für ungültig. Nach Ansicht der Luxemburger Richter bietet das Abkommen keinen ausreichenden Schutz personenbezogener Daten von EU-Bürgern. Laut uniscon – einem Unternehmen der TÜV SÜD Gruppe wurden EU-Bürgern und EU-Unternehmen damit gleichermaßen der letzte Notnagel an Rechtssicherheit gezogen. Alle Daten, die auf US-Servern gespeichert, verarbeitet oder auch nur über diese kommuniziert werden, seien nun der willkürlichen Einsicht durch US-Behörden ausgeliefert.

4 Maßnahmen, mit denen Sie Datenschutz auch weiterhin gewährleisten

Was nun? Sie sollten in Folge des EuGH-Urteils Ihren Datenschutz überprüfen und gegebenenfalls verändern. Nur dann können Sie auch trotz Ende des Privacy-Shield-Abkommens einen sicheren Datenschutz nach DSGVO -Maßstäben gewährleisten. Dafür sollten Sie folgende vier Maßnahmen treffen:

  1. Clouds: Nutzen Sie keine US-Clouds mehr und speichern Sie stattdessen Ihre Daten auf europäischen Servern. Für E-Mail, Cloud-Speicher, Kalender, Messaging und viele andere Dienste gibt es laut dem Computermagazin c't inzwischen gute europäische Alternativen zu Dropbox, Google und Co. Dazu bieten mittlerweile viele US-amerikanische Unternehmen an, ihre Online-Dienste mit europäischem Cloud-Speicher zu kombinieren. So hält etwa Microsoft in Kooperation mit der Deutschen Telekom inzwischen mit Office 365 Deutschland ein Angebot bereit, bei dem die Daten nicht automatisch in die USA abwandern, sondern auf deutschen Servern der Telekom verbleiben sollen.

  2. Datenschutzbeauftragter: Wahren Sie Ihre Datenschutz-Compliance durch einen Data-Protection-Officer, also einen Datenschutzbeauftragten. Der ist laut uniscon für die Durchführung von Datenschutz-Assessments und für die Einführung von an­gemessenen Datenschutzmaßnahmen verantwortlich. Unternehmen, die in der EU tätig sind, müssen eine der zwei folgenden Maßnahmen umsetzen: entweder einen Datenschutzbeauftragten benennen und diesen mit allen benötigten Tools ausstatten oder einen Datenplan zur Verfügung stellen, der aufzeigt, weshalb das Unternehmen für eine Ausnahmeregelung qualifiziert ist.

  3. Aufklären: Nach Auffassung der europäischen Datenschützer muss laut Datenschutzexperte Carlo Piltz ein europäisches Unternehmen, wenn es personenbezogene Daten an ein US-amerikanisches Unternehmen übermittelt, betroffene Personen über die Identität der jeweiligen Datenempfänger aufklären. Dies gelte dann, wenn ein US-amerikanisches Unternehmen in der Rolle eines datenschutzrechtlich Verantwortlichen ("controller") agiert.

  4. Auftragsverarbeitungsvertrag: Agiert ein US-amerikanisches Unternehmen lediglich als Auftragsverarbeiter ("processor"), sind laut Piltz beide Unternehmen dazu verpflichtet, einen Vertrag zur Auftragsverarbeitung abzuschließen (Art. 17 EU-Datenschutzrichtlinie). Das bedeute, dass ein deutsches Unternehmen nicht einfach personenbezogene Daten an ein amerikanisches Unternehmen übermitteln darf, wenn dieses Unternehmen als Auftragsverarbeiter agiert. Zusätzlich sei hier der Abschluss eines Vertrages zur Auftragsverarbeitung erforderlich. Europäische Datenschützer raten zudem dazu, dass ein europäisches Unternehmen in einem solchen Vertrag festlegt, ob es mit einer Einschaltung von Unterauftragsverarbeitern durch das amerikanische Unternehmen einverstanden ist oder nicht.

Artikel 49 DSGVO ermöglicht in vielen Fällen weiterhin interkontinentale Datenweitergaben

Die unklare Lage in Sachen Datenschutz macht die Nutzung US-amerikanischer Dienste für Unternehmen sehr kompliziert. Das gilt für Produkte von Branchenriesen wie Google, Apple und Microsoft genauso wie beispielsweise für die Kommunikation über Facebook-Messenger und WhatsApp (wie Sie WhatsApp trotzdem nutzen können, zeigt Ihnen unser WhatsApp-Experte Michael Elbs in seinem Beitrag "Die neue Dreiteilung: WhatsApp, WhatsApp Business und WhatsApp Solution (API)"). Datenschutzexperten fordern daher schnell eine tragfähige Neuregelung:

"Anstatt über das Aus einer mittelmäßigen Notlösung zu lamentieren, wäre es angeraten, das rechtliche Vakuum schnellstmöglich durch eine tragfähige Neuregelung zu ersetzen, die nachweislichen Datenschutz für alle EU-Bürger garantiert – auch wenn ihre Daten über den Atlantik wandern", sagt Ulrich Ganz, Director Software Engineering bei der TÜV SÜD-Tochter uniscon. "Noch besser wäre es, wenn wir endlich die Kinderschuhe abstreifen könnten und uns mit aller Kraft um den Aufbau und die Förderung einer konkurrenzfähigen IT-Wirtschaft innerhalb der EU-Grenzen kümmern würden." Dazu brauche es neben politischem Willen nicht zuletzt eine aufgeklärte Nutzerschaft, die sich nicht länger wie Kunden zweiter Klasse behandeln lassen will. "Dennoch sollten international operierende Unternehmen nun nicht in Panik verfallen", so Jürgen Litz, Geschäftsführer der cobra - computer’s brainware GmbH und Experte für Datenschutz. "Interkontinentale Informationsweitergaben lassen sich auch auf andere Weise legitimieren – Artikel 49 der Datenschutzgrundverordnung alleine rechtfertigt bereits eine Vielzahl von Transaktionen:

Die Ausnahmen des Artikel 49 DSGVO

Ein Datentransfer in ein Drittland oder an eine internationale Organisation kann beim Vorliegen besonderer, in Artikel 49 DSGVO explizit genannter und abschließender Fälle auch zulässig sein, wenn weder ein Angemessenheitsbeschluss der Europäischen Kommission noch geeignete Garantien vorliegen. Diese Ausnahmefälle umfassen u.a. folgende Situationen:

# wenn eine Einzelperson ausdrücklich in die vorgeschlagene Übermittlung eingewilligt hat, nachdem sie alle erforderlichen Informationen über die mit der Übermittlung verbundenen Risiken erhalten hat

# wenn die Übermittlung für die Erfüllung oder den Abschluss eines Vertrags zwischen der Einzelperson und dem Verantwortlichen erforderlich ist, oder wenn der Vertag im Interesse der Einzelperson geschlossen wird

# wenn die Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist

# wenn die Datenübermittlung für die Wahrung der zwingenden berechtigten Interessen der Organisation erforderlich ist.

Die Ausnahmen des Artikel 49 DSGVO sind eng auszulegen und dürfen nach den Leitlinien des Europäischen Datenschutzausschusses nicht für regelmäßige Datentransfers verwendet werden, die eine Vielzahl von Personen betreffen.

Quelle: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)