Home
Intern
veröffentlicht am 20. August 2020 | von Bastian Schönnenbeck
Das lang erwartete Urteil des Europäischen Gerichtshof (EuGH) wurde bereits im Juli gesprochen: Der transatlantische Datentransfer von personenbezogenen Daten zwischen Europa und den USA wurde für nichtig erklärt.
Das unter dem Namen „Privacy Shield” oder „EU-US-Datenschutzschild” seit 2015 bestehende Abkommen, bildete bisher die Rechtsgrundlage für den grenzübergreifenden Datenaustausch. Zwar erfreuen sich US-Dienste wie Google-Analytics, Zoom, YouTube etc. zunehmender Beliebtheit und kommen auch in Organisationen und Unternehmen regelmäßiger zum Einsatz. Aber alle miteinander haben ein Problem: Sie speichern zum Großteil Daten auf amerikanischen Servern. Dies war bislang – trotzt DSGVO – unproblematisch, solange sich die Diensteanbieter (wie z.B. Google oder Facebook) bereit erklärten, den Privacy Shield zu unterzeichnen.
Den höchsten Richtern Europas gehen die Befugnisse der amerikanischen (Sicherheits-)Behörden entschlossen zu weit. Der amerikanische Foreign Surveillance Act (FISA) ermögliche einen Zugriff zu willkürlichen personenbezogenen Daten europäischer Bürger durch die Geheimdienste und Sicherheitsbehörden (wie FBI oder NSA) auch ohne richterlichen Beschluss. Damit ist ein Schutzniveau nicht mehr zu gewährleisten.
Transfers von Daten in Drittländer unterliegen den Anforderungen des Kapitels V der Datenschutz-Grundverordnung, wonach personenbezogene Daten nur dann in Drittländer übermittelt werden dürfen, wenn ein Angemessenheitsbeschluss der Kommission (Art. 45 DS-GVO) oder andere geeignete Garantien (Art. 46 DS-GVO) bzw. sog. interne Verhaltensregeln (Art. 47 DS-GVO) einen rechtskonformen Umgang mit diesen Daten auch im Drittland sicherstellen. Der EU-US Privacy Shield unterlag einem Angemessenheitsbeschluss, welcher nun – seit dem Urteil – ungültig ist. Will heißen: Alle Datenübermittlungen auf Grundlage des EU-US-Privacy Shields müssen nunmehr auf eine andere Rechtsgrundlage gestellt werden. Dabei kann auf die durch den EuGH zunächst bestätigten Standardvertragsklauseln zurückgegriffen werden (Informationen dazu finden Sie hier).
Betroffen sind grundsätzlich alle Datenübertragungen auf amerikanische Server. Sowie alle Unternehmen, die Datentransfers in die USA vornehmen. In der Regel erfolgt dies durch Dienstleister, die ihre technische Infrastruktur oder Teile davon in den USA betreiben. Hierzu gehören vor allem Microsoft, Amazon oder kleinere Dienste (zum Beispiel zum Newsletter-Versand) wie Mailchimp. Andere Fälle betreffen Konzerne, die Tochtergesellschaften oder andere Unternehmensteile in den USA unterhalten und aufgrund dessen Daten in die USA übermitteln.
Unternehmer sollten daher in einem ersten Schritt prüfen, welche digitalen Dienste von Anbietern außerhalb der EU/dem EWR im Betrieb genutzt und in welchen Fällen personenbezogene Daten an diese Unternehmen übermittelt werden. Kritisch sind vor allem Anbieter, die bislang ausschließlich auf das Privacy-Shield gesetzt haben. Im Anschluss sollten sich Betroffene erkundigen, ob ihr Anbieter eine Regelung für Kunden aus der EU treffen wird, etwa über eine EU-Standardvertragsklausel. Zudem lohnt sich ein Blick in die eigene Datenschutzerklärung: Wer hier bei der Datenübertragung an einen außereuropäischen Anbieter lediglich auf das Privacy-Shield-Abkommen hinweist, sollte die Formulierung unbedingt anpassen. In einigen Fällen kann auch der Umstieg auf einen europäischen Anbieter eine Lösung sein.
Das EuGH-Urteil hat weitreichenden Folgen für alle Unternehmen, die einen Datentransfer in die USA vornehmen oder mit einem Dienstleister zusammenarbeiten, der seine Daten in den USA verarbeitet. Um Sanktionen zu vermeiden, sollten Unternehmen schnellstmöglich die bestehenden Dienstleister und Verträge prüfen und sich auf eine Umstellung zu Standardvertragsklauseln vorbereiten.
Rödl & Partner unterstützt Sie bei diesen und weiteren Tätigkeiten rund um den Datenschutz.
Hannes Hahn
CISA - CSP - DSB, IT-Auditor IDW
Partner, Rödl IT Secure GmbH
Anfrage senden
