– wie es jetzt weitergeht
Im Durchschnitt verwenden europäische Unternehmen täglich ca. 16 SaaS-Apps. Beinahe jedes Unternehmen bezieht dafür Leistungen aus den USA. Mit der Übermittlung personenbezogener Daten in die USA soll jetzt aber Schluss sein. Der EuGH erklärte das EU-U.S. Privacy Shield am 16. Juli 2020 für ungültig. – Droht nun das Datenchaos?
Was Unternehmen jetzt beachten müssen, um weiterhin datenschutzkonform zu agieren – wir haben die wichtigsten Facts in Kürze.
Definition: Privacy Shield
Die Datenschutz-Grundverordnung (DSGVO) gewährleistet allen europäischen Bürgern die Sicherheit ihrer personenbezogenen Daten. Nach Art. 44 DSGVO dürfen Daten nur dann in ein Drittland, also ein Land außerhalb der EU, übermittelt werden, wenn dort ein vergleichbares Schutzniveau gewährleistet ist. Sicher stellt man dies durch einen Angemessenheitsbeschluss der europäischen Kommission – die Kommission legt also fest, dass der Transfer schon in Ordnung geht – oder durch sonstige Garantien gemäß Art. 46 DSGVO.. Eines dieser Garantien war bis zum 16.07.2020 das EU-US Privacy Shield.
Das Privacy Shield ist ein informelles Abkommen zwischen der EU und der der USA. Als eine Art „Schutzschild“ regelt es die Rechtmäßigkeit der Übertragung personenbezogener Daten zwischen Europa und den USA. Hiernach reichte eine Einverständniserklärung betroffener, in den USA ansässiger Unternehmen, sich an die europäischen Vorgaben i.S. Datenschutz zu halten. Der EuGH hat dieses Abkommen nun gekippt, weil er die Rechte der EU-Bürger durch Maßnahmen der US-Sicherheitsbehörden verletzt sieht.
Das Urteil zum Privacy Shield
Max Schrems, der auch schon das Verfahren gegen den Vorgänger des Privacy Shields, das sogenannte „Safe-Harbor-Abkommen“ (2015 als ungültig erklärt), eingeleitet hatte, klagte nun erneut beim europäischen Gerichtshof – mit Erfolg. .
Eine Übermittlung personenbezogener Daten in die USA, die ausschließlich über das Privacy Shield gestützt wurde, ist ab sofort nicht mehr rechtmäßig und stellt einen Verstoß gegen die DSGVO dar.
Nicht mit den Datenschutzstandards vereinbar war dabei aus Sicht des Gerichts vor allem der Patriot-Act. US-Behörden (FBI, CIA oder NSA) haben dadurch die Möglichkeit , die von US-Unternehmen gespeicherten personenbezogenen Daten einzusehen und sogar Herausgabe zu verlangen, ganz gleich, ob es sich um US- oder EU-Bürger handelt. Die Rechte, die Betroffene im Einzugsbereich der DSGVO ausüben können, sind dabei in den USA nicht gewährleistet und es herrscht schlicht kein angemessnes Schutzniveau.
Was bedeutet das nun für deutsche Unternehmen in Bezug zur Datenübermittlung an US-Unternehmen?
Beinahe jedes dritte Unternehmen nutzt Dienste von US-Softwareanbietern, wie Microsoft, Google etc. Die Folgen sind weitrechend. Datenschutzrechtliche Verträge müssen aktualisiert werden, alternative Anwendungen müssen gefunden werden, Kunden müssen ausreichend informiert werden.
Die Aufsichtsbehörden sind sich einig. Alle Unternehmen, die Software von US-Unternehmen nutzen, müssen betroffene Verarbeitungstätigkeiten einstellen und auf Dienstleister in der europäischen Union zurückgreifen. Leicht gesagt, in der Praxis ist dies mitunter nahezu unmöglich.
Alternativen zum Privacy Shield
Mit manchen U.S.-Dienstleister*innen können Sie sog. Standarddatenschutzklauseln (SCC) schließen. Standarddatenschutzklauseln bieten europäischen Unternehmen die Möglichkeit einen Vertrag mit US-Unternehmen zu schließen, der seitens der europäischen Union genehmigt werden muss.
Im Urteil zum Privacy Shield erklärte der EuGH, dass die SSC noch weiterhin datenschutzrechtlich zulässig seien, weil sie wirksame Mechanismen enthalten, die dem Datenschutzniveau der europäischen Union gleichkommen.
Dabei muss der Verantwortliche nicht nur nachweisen, dass das US-Unternehmen die europäischen Datenschutzregeln beachtet, sondern auch prüfen, ob der / die Empfänger*in der Daten auch tatsächlich das erforderliche Schutzniveau einhält. Wie genau diese Prüfung in der Praxis auszusehen hat, ist bisher jedoch nicht abschließend geklärt. Diese Lösung stellt also nicht nur Unternehmen, sondern sogar Datenschützer*innen vor neue Herausforderungen.
Eine weitere Alternative ergibt sich aus Art. 46 Abs. 1 DSGVO – die Binding Rules. Dabei handelt es sich um verbindliche interne Unternehmensrichtlinien, die sicherstellen sollen, dass bei der unternehmensinternen Datenübermittlung von personenbezogenen Daten in ein Drittland das Schutzniveau der DSGVO eingehalten wird. Allerdings könnte dieser Lösungsansatz zukünftig ebenfalls kippen, da auch ein Standort in den USA vom Patriot Act betroffen sein kann.
Eine andere Möglichkeit liefert Art. 49 Abs. 1 lit. a) DSGVO. Demnach ist ein Datentransfer in die USA auch dann möglich, wenn der Betroffene hierin ausdrücklich eingewilligt hat und er gleichzeitig über die Risiken der Datenübermittlung unterrichtet worden ist. Inwiefern die Einholung einer Einwilligung zulässig ist, muss jedoch im Einzelfall geprüft werden.
Unter der gleichen Voraussetzung sieht der Art. 49 Abs. 1 lit. b), c) ebenfalls eine Ausnahmeregel immer dann vor, wenn der Datentransfer zur Erfüllung vertraglicher oder vorvertraglicher Maßnahmen notwendig ist. Dies betrifft aber eher wenige Fälle, wie z.B. eine Hotelbuchung in den USA. Hier bedarf es in jedem Fall einer Einzelfallprüfung.
Was wir Ihnen jetzt empfehlen
·Rechtsgrundlagen für Datenübermittlungen prüfen
Durch dieses Urteil ergeben sich für die Praxis eine Reihe von neuen Fragen. Gerade Unternehmen bzw. Unternehmensgruppen, die auf den Datentransfer in die USA angewiesen sind, stehen nun vor der Herausforderung den, Vorgaben des EuGHs gerecht zu werden. Grundsätzlich sollten Unternehmen nach der EuGH-Entscheidung die Rechtsgrundlagen für Datenübermittlungen nochmals prüfen und sich bei der Speicherung von personenbezogenen Daten auf die EU konzentrieren. Im Geltungsbereicht der DSGVO sind keine zusätzlichen Vereinbarungen oder Absicherungen notwendig.
·Datenschutzerklärung anpassen
Nicht zuletzt werden auch Kunden sensibler werden, was den Zugriff und den Schutz ihrer Daten betrifft. Passen Sie deshalb Ihre Datenschutzerklärung an und das insbesodnere dort, wo Datenübermittlungen in die USA auf das Privacy Shield gestützt wurden.
·Nach europäischen Alternativen Ausschau halten
Für viele Anwendungen, die personenbezogene Daten in die USA übermitteln, gibt es europäische Alternativen, die den Vorgaben der DSGVO unterliegen. Vom deutschen Rechenzentrum bis zur regionalen Cloud – vielleicht finden Sie auch für Ihr Unternehmen eine sichere Alternative.
Sie haben Fragen oder möchten mehr über Alternativen erfahren? Wir helfen Ihnen weiter!
Folgende Beiträge könnten Sie auch interessieren:
- EuGH: Keine Cookies und Like-Button ohne Einwilligung, Verstöße abmahnbar
- Wearables und Datenschutz – Wie Sie Ihre Datenkrake im Blick behalten und worauf Sie jetzt achten sollten!
- Plötzlich Videokonferenzen – Und nun? Welche datenschutzrechtlichen Grundlagen Sie jetzt beachten sollten.