Im Juli kippte der Europäische Gerichtshof (EuGH) den Privacy Shield, der in den vergangenen Jahren den Datentransfer von EU-Ländern in den USA regelte. Ganz überraschend kommt diese Entscheidung nicht, trotzdem müssen viele Unternehmen nun notwendige Änderungen in der Datenverarbeitung vornehmen. Wer betroffen ist und was nun zu tun ist, erfahren Sie hier.
Was ist der Privacy Shield?
Bei dem sogenannten „EU-US Privacy Shield“ handelt sich um eine Vereinbarung zwischen der EU-Kommission und den USA zur Verarbeitung von personenbezogenen Daten. Sie war nötig geworden als der EuGH 2015 mit dem „Schrems I“-Urteil die Vorgängerregelung „Safe-Harbor“ für unwirksam erklärt hatte.
ShapeMinds Der wichtigste Bestandteil der Privacy Shield ist die Anerkennung der Gleichwertigkeit des US-amerikanischen Datenschutzes in den USA mit der DSGVO. Das bedeutet: Der Datenschutz in den USA soll gleichwertig mit dem in der EU sein. Datenschützerinnen und Datenschützer kritisierten den Privacy Shield von Beginn an, denn der Datenschutz in den USA bewegt sich seit jeher auf einem anderem Level als in der EU.
So haben beispielsweise US-amerikanische Sicherheitsbehörden noch immer weitreichende Befugnisse, auch ohne Rechtsmittel der betroffenen Personen, auf sensible Daten zuzugreifen. Die Privacy Shield-Vereinbarung verhinderte jedoch auch, dass der Datentransfer zwischen Europa und den USA nach dem Ende von Safe-Harbor vollkommen zum Erliegen kam.
EuGH-Urteil zu Privacy Shield
Anlass für den zugrundeliegenden Rechtstreit war eine Beschwerde des österreichischen Juristen und Datenschutzaktivisten Max Schrems. Dieser beschwerte sich bei der irischen Datenschutzbehörde darüber, dass Facebook Irland personenbezogene Daten an den Mutterkonzern in den USA weitergibt.
Dort dürfen Behörden wie etwas das FBI und die NASA auf solche Daten zugreifen, ohne dass die Betroffenen dagegen vorgehen können. Die DSGVO lässt solch einen Datenzugriff nicht ohne weiteres zu. Die irische Datenschutzaufsichtsbehörde wendete sich mit der Frage an den EuGH, ob der Privacy Shield und die EU-Standardvertragsklauseln ausreichend seien, um die Anforderungen der in Europa geltenden DSGVO zu erfüllen.
Der EuGH befand mit dem Urteil vom 16. Juli 2020, dass der Privacy Shield keinen ausreichenden Datenschutz gewährt (Urt. v. 16.07.2020, Az. C-311/18). Das Abkommen genügt nach Ansicht des Gerichtes nicht den Anforderungen der Datenschutz-Grundverordnung, der Datenschutz in den USA schützt deutsche Bürgerinnen und Bürger bzw. deutsche Unternehmen nicht ausreichend. Alle Unternehmen, die sich beim Datentransfer zwischen Europa und den USA bisher allein auf Privacy Shield gestützt haben, müssen nun handeln.
ShapeMinds Wer ist betroffen?
Vom gekippten Privacy Shield sind Unternehmen aus nahezu allen Branchen, vom Mittelstand bis zum Konzern, betroffen. So ist selbst ein sehr kleines Unternehmen betroffen, wenn es einen Newsletter-Anbieter oder einen Anbieter von CRM-Software aus den USA nutzt. Hier werden im Regelfall personenbezogene Daten verarbeitet, was einen starken Datenschutz verlangt. Dasselbe gilt für Unternehmen, die personenbezogene Daten durch US-amerikanische Unternehmen verarbeiten lassen sowie internationale Cloud-Dienste und internationale Social-Media-Plattformen.
Wie geht es weiter?
Der EuGH befand in seinem Urteil auch, dass die EU-Standardvertragsklauseln grundsätzlich eine Möglichkeit darstellen, den Datentransfer aus EU-Ländern in die USA und andere Drittländer DSGVO-konform zu gestalten. Es ist nun die Aufgabe der jeweiligen nationalen Aufsichtsbehörden, zu überprüfen, ob betroffene Unternehmen und Personen aus der EU in den USA bzw. dem jeweiligen Drittland ausreichend Rechte und Rechtsbehelfe für einen DSGVO-konformen Schutz ihrer Daten haben.
Dazu werden die nationalen Aufsichtsbehörden nach dem Kippen des Privacy Shield möglichst zeitnahe Empfehlungen aussprechen. Es ist nicht unwahrscheinlich, dass die EU-Standardvertragsklauseln für den Datenaustausch mit den USA nicht ausreichend sind. In diesem Fall können die Aufsichtsbehörden den Datentransfer trotz ausgehandelter EU-Standardvertragsklauseln für unzulässig erklären.
Drei Aufgaben für betroffene Unternehmen
Betroffene Unternehmen sollten spätestens mit dem Kippen des Privacy Shield die notwendigen Maßnahmen einleiten.
-
Jetzt EU-Standardvertragsklauseln nutzen
Der EuGH hat den Privacy Shield für ungültig erklärt, das Nutzen der EU-Standardvertragsklauseln grundsätzlich befürwortet. Deshalb ist es in den meisten Fällen die praktischste Lösung, mit dem US-amerikanischen Partner eine Vereinbarung gemäß EU-Standardvertragsklauseln abzuschließen, bis die nationale Datenschutzaufsichtsbehörde eine endgültige Entscheidung getroffen hat.
-
Überblick über Datenvereinbarung verschaffen
Wer es bisher noch nicht getan hat, der sollte jetzt überprüfen, welche Daten überhaupt betroffen sind:
- Welche Daten übermittelt das Unternehmen in die USA?
- Sind diese Daten personenbezogenen und für das Unternehmen unabdingbar?
- Gibt es EU-interne Alternativen, um den Datentransfer in die USA zu unterbinden?
Es ist empfehlenswert, bereits jetzt alternative Lösungen anzudenken. So sind Unternehmen in der Lage, schnell zu handeln, wenn die nationale Aufsichtsbehörde ein Datentransfer-Verbot für die USA ausspricht.
-
Prozesse der Datenverarbeitung anpassen
Wer proaktiv handeln möchte, der wartet nicht auf die Empfehlungen der nationalen Aufsichtsbehörde.
Folgende Maßnahmen sind denkbar:
- Wechsel des Anbieters: Anwenden von nationalen Cloud- und Softwareanbietern
- Verschlüsselung bzw. Anonymisierung von personenbezogenen Daten
- Beschränkung der Erhebung von personenbezogenen Daten
Das Urteil zum Privacy Shield wird uns noch eine lange Zeit begleiten. Langfristig müssen die Datenschutzvereinbarungen zwischen EU-Ländern und Drittländern wie der USA auf politischer Ebene geklärt werden. Bis dahin sollten Unternehmen versuchen, möglichst praktische Lösungen zu finden, die einen DSGVO-konformen Umgang mit Daten erlaubt.
Kontaktieren Sie uns, wir helfen Ihnen gern weiter!