Nach einem langen, länderübergreifenden Rechtsstreit erklärte der Europäische Gerichtshof (EuGH) die Privacy-Shield-Vereinbarung zwischen der europäischen Union und den Vereinigten Staaten am 16. Juli 2020 für unwirksam. Das Privacy Shield hatte etwas mehr als vier Jahre Bestand. Es fungierte als Rechtsgrundlage für Datenübermittlungen in die USA und sollte Geschäftswege zwischen der EU und den USA deutlich vereinfachen.
Weil jedoch die Zugriffsmöglichkeit für US-Behörden auf Daten, die durch US Unternehmen verarbeitet werden, zu groß ist, erfüllte das Abkommen nicht die europäischen Datenschutzanforderungen und wurde nun vom EuGH außer Kraft gesetzt.
Die Folgen sind schnell erzählt: eine Datenübermittlung in die USA, z.B. durch Nutzung von US-Dienstleistern oder US-Cloud Ressourcen, ist nicht mehr durch das Privacy Shield legitimiert. Es müssen nun andere Rechtsgrundlagen für eine Übermittlung von Daten an US-Unternehmen ermittelt werden; bspw. die EU-Standardvertragsklauseln oder auch die Einwilligung der Betroffenen. Wer dennoch weiterhin Daten ohne alternative Rechtsgrundlage übermittelt, handelt rechtswidrig und muss mit potenziell empfindlichen Bußgeldern rechnen.
„Dennoch sollten jetzt nicht alle Unternehmen in Panik verfallen“, erklärt Datenschutzexperte Fabio Pastars von der DPN Datenschutz GmbH & Co. KG mit Sitz in Viersen. Immerhin könne man nicht von heute auf morgen alle US-Cloud Dienste verlassen oder deren Nutzung einstellen. Oft gibt es auch gar keine vergleichbare Alternative aus der EU zu US-Cloud Diensten. Und trotzdem: Es muss überlegt gehandelt werden!
Aus diesem Grunde empfiehlt Pastars allen betroffenen Unternehmen, sich zügig mit der – zumindest zurzeit noch legitimen – Lösung „EU-Standardvertragsklauseln“ zu beschäftigen und die folgenden Schritte einzuleiten und abzuarbeiten:
1. Ermitteln Sie alle Dienstleister und Services aus den USA, mit denen Sie personenbezogene Daten verarbeiten. Ist eine Speicherung der Daten innerhalb der EU möglich? Falls ja, unbedingt aktivieren.
2. Prüfen Sie die Rechtsgrundlage, auf der die Datenübermittlung an den Anbieter erfolgt. Ist es das „Privacy Shield“ oder liegen die EU-Standardvertragsklauseln zugrunde?
3. Liegt nur das „Privacy Shield“ zugrunde? Im Idealfall können Sie auf den Anbieter verzichten, was vermutlich aber meist nicht infrage kommt. Im dem Falle kontaktieren Sie den Anbieter unter Bezugnahme auf das EuGH-Urteil. Ist mit ihm kurzfristig der Abschluss der EU-Standardvertragsklauseln möglich?
4. Wenn der Anbieter dies verneint, sollte er besser nicht mehr eingesetzt werden. Es fehlt dann schlicht die Rechtsgrundlage.
5. Man könnte die Übermittlung noch mit den Ausnahmen nach Art. 49 DSGVO rechtfertigen, was ich jedoch für “wackelig” halte. Es ist zu erwarten, dass die Aufsichtsbehörden hier sehr genau schauen, ob die Argumentation Bestand hat.
6. Passen Sie Ihre Datenschutzerklärung hinsichtlich der „neuen“ Rechtsgrundlagen für die entsprechenden Datenübermittlungen an.
Was nach Aufwand klingt, muss dennoch angegangen werden. Die Dauer der Rechtsunsicherheit ist unklar. Eine komplette Abkehr von US-Clouddiensten erscheint mangels entsprechender europäischer Alternativen nicht wirklich umsetzbar.
„Es bleibt zu hoffen, dass die Aufsichtsbehörden zeitnah für alle Beteiligten eine angemessene Lösung schaffen. Bis dahin können wir nur wärmstens empfehlen, die oben genannten Schritte durchzuarbeiten und sich bestmöglich aufzustellen“, empfiehlt Pastars.
Teilen:
