Konsequenzen des US Privacy Shield

Was europäische Unternehmen nun tun müssen

Bereits seit Juli ist klar: Der EuGH verbietet Datenverarbeitung in den USA und erklärt das Privacy Shield zwischen der EU und den USA für unwirksam.  

In seiner neuesten Stellungsnahme zum Urteil erklärt der LfDI von Baden-Württemberg: Das Privacy Shield stellt keine gültige Rechtsgrundlage für die Übermittlung mehr dar, trotzdem durchgeführte Datentransfers sind rechtswidrig und können Bußgelder und Schadensersatzforderungen nach sich ziehen.” 

Dieser Beschluss stellt europäische Unternehmen vor eine große Herausforderung, die kaum lösbar scheint. Wir möchten Ihnen somit Handlungsvorschläge erteilen, um die erforderlichen Maßnahmen zügig umsetzen zu können. Denn der EuGH sieht keinen Übergangszeitraum vor. Sofortiges Handeln ist nötig, um Bußgelder zu vermeiden.  

Kurzer Rückblick:  

Was ist das Privacy Shield und warum wurde dies vom EuGH als ungültig erklärt? 

Die Datenschutzgrundverordnung (DSGVO) ist ein EU-Abkommen zum Datenschutz. Während die DSGVO für EU-Mitgliedsstaaten verpflichtend ist, gelten in Drittländern andere Regelungen. Um den Service außereuropäischer Staaten nutzen zu dürfen, gibt es sogenannte Angemessenheitsbeschlüsse, wie das Privacy Shield zwischen der EU und den USA, die eine ausreichende Datensicherheit garantieren sollen. Mehr Infos zum Privacy Shield und dem EuGH-Urteil können Sie in unserem vergangenen Beitrag nachlesen.

Da durch die umfangreichen Zugriffsmöglichkeiten der amerikanischen Behörden der Datenschutz für Europäer nicht mehr garantiert werden kann, wurde das Privacy Shield am 16.07.2020 als ungültig erklärt. Sogenannte EU-Standardvertragsklauseln erlauben weiterhin eine Datenverarbeitung in den USAwenn eine Datensicherheit gegeben ist. Wie das genau aussieht, ist jedoch unklar, denn bei Standardvertragsklauseln und anderen Alternativen liegt dieselbe Problematik zugrunde, die zur Unwirksamkeit des Privacy Shields geführt hat.  

Folgende Beispiele nannte der LfDI in seiner Orientierungshilfe zum Schrems Urteil für Datenverarbeitung in den USA: 

– Sie stehen in Handelsbeziehung mit Unternehmen, die einen Sitz in den USA haben und tauschen mit diesen personenbezogene Daten über Kunden (Lieferadressen, Beschwerden, Bestellungen etc.) oder Ihre Beschäftigten (Verträge, Netzwerke, etc.) aus. 

– Sie speichern Daten in einer Cloud, die von einem Unternehmen in den USA außerhalb der EU gehostet wird.

– Sie nutzen ein Videokonferenzsystem eines US-amerikanischen Anbieters, der Daten der Teilnehmenden erhebt und in die USA übermittelt.

Status Quo:  

Warum Sie jetzt aktiv werden müssen

Auch wenn die Entscheidung nur das Privacy Shield – sprich die Datenverarbeitung in den USA – betrifft, ist diese auf jegliche außereuropäische Datenverarbeitung übertragbar und hinterlässt somit große Unsicherheit in der Online-Welt. Sobald Daten in außereuropäischen Staaten (sogenannten Drittländern) verarbeitet werden, müssen die Grundsätze der Datensicherheit beachtet werden. Diesbezüglich hat der Landesbeauftragte von Baden-Württemberg folgendermaßen Stellung bezogen: 

eine Übermittlung auf Grundlage von Standardvertragsklauseln ist zwar denkbar, wird die Anforderungen, die der EuGH an ein wirksames Schutzniveau gestellt hat, jedoch nur in seltenen Fällen erfüllen 

Der Verantwortliche muss hier zusätzliche Garantien bieten, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und so die Rechte der betroffenen Personen schützen; dies wäre etwa in folgenden Fällen denkbar: 

– Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann, 

– Anonymisierung aller personenbezogenen Daten

Nicht betroffene Länder: 

Die Angemessenheitsbeschlüsse mit den folgenden Länder wurden als weiterhin gültig eingestuft:

  • Andorra  
  • Argentinien 
  • Färöer-Inseln 
  • Guernsey 
  • Israel 
  • Isle of Man 
  • Jersey 
  • Japan 
  • Kanada 
  • Neuseeland 
  • Schweiz  
  • Uruguay 

Wenn Sie Services nutzen, die in einem dieser genannten Länder personenbezogene Daten verarbeiten, müssen Sie sich aktuell keine Gedanken machen.  

Ausblick:  

Was Sie nun tun können bzw. müssen:  

Aufgrund der Unmittelbarkeit des Urteils sind sofortige Maßnahmen nötig. Auch wenn die Hoffnung auf ein neues Abkommen weiterhin bleibt, kann dies lange ausbleiben. Wer aktuell personenbezogene Daten in den USA verarbeitet, spielt mit dem Risiko hohe Bußgelder zu bezahlen. Dennoch heißt es Ruhe bewahren und mit Bedacht vorgehen.  

1. Analyse der eigenen Datenverarbeitung

Überprüfen Sie im ersten Schritt, ob Sie überhaupt Drittanbieter-Services nutzen und wenn ja welche das sind und in welchem Umfang diese Daten verarbeiten. Schauen Sie dabei genau hin, wo sich der Firmenhauptsitz befindet bzw. wo der Server steht, der die Daten speichert. Denn sobald Sie den Service eines Dritten nutzen, sind Sie für seine Rechtskonformität verantwortlich. Oftmals wird übersehen, dass Anbieter mit europäischem Sitz und scheinbarer Rechtskonformität, ihre Daten wiederum in den USA oder in anderen Drittländern speichern/verarbeiten – so wie es auch beim Schrems Urteil bzgl. Facebook Irland und seinem Mutterkonzern Facebook USA der Fall war. Hier ist also ein bisschen Recherche von Nöten. 

Diese Kriterien sollten Sie bei der Überprüfung beachten: 

  • Sitz des Anbieters
  • Hauptsitz des Konzerns (sofern abweichend)
  • Serverstandort / Ort der Datenverarbeitung
  • Angemessenheitsbeschluss gültig oder ungültig?

2. Welche Alternativen gibt es?  

Nachdem Sie überprüft haben, welche Ihrer ermittelten Drittanbieter Daten außerhalb der EU verarbeiten, sollten Sie zunächst klären, ob es eine angemessene Alternative gibt, die Daten innerhalb der EU verarbeitetSicherlich werden Sie nicht zu jedem Drittanbieter eine wirklich adäquate Alternative finden. In einigen Fällen können Sie sich fragen, ob Sie den Service überhaupt regelmäßig in Anspruch nehmen bzw. benötigen. Eventuell können Sie einen Wechsel oder einen Wegfall des Services ohne merkbare Verluste verkraften.  

Fragen Sie sich:

  • Brauche ich den Service wirklich?
  • Gibt es eine adäquate Alternative?

3. Was tun, wenn in Europa keine Alternativen vorhanden sind?  

Halten Sie sich das Risiko vor Augen, von Aufsichtsbehörden, Mitbewerbern oder Nutzern entlarvt zu werdenEs wurde bereits eine bundesweite Kontrolle von Tracking-Technologien auf Websites seitens der Datenschutzbehörden angekündigt. Nutzen Sie Drittanbieter, die ihre Daten außerhalb der EU verarbeiten, machen Sie sich vor den Behörden datenschutzrechtlich angreifbar. Daher raten wir dazu abzuwägen, ob der wirtschaftliche Nutzen durch den Einsatz entsprechender Tools im Verhältnis zu dem bestehenden Risiko steht.  

Sollten Sie der Meinung sein, dass Sie auf einen Drittanbieterservice aus dem EU-Ausland nicht verzichten können, müssen Sie im Fall der Fälle in der Lage sein, eine umfangreiche Argumentation in schriftlicher Form vorzulegen (beispielsweise in einer Pro- und Contra-Liste), die den Einsatz entsprechender Tools rechtfertigt und dokumentiert, welche Abwägungen und Maßnahmen zum rechtskonformen Handeln getroffen wurden.  

Fragen Sie sich: 

  • Ist das Tool in den Punkten Usability, Funktionalität, Kosten und Sicherheitsrisiko einem DSGVO-konformen Tool gleichwertig bzw. überlegen?
  • Kann ich ein berechtigtes Interesse rechtfertigen?

 

Im Zentrum [...] wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer [… ] untersagt werden.

So die Aussage des LfDI von Baden Württemberg. Die Berliner Landesdatenschutzbehörde drückt sich sogar noch unmissverständlicher aus und fordert ohne Ausnahme einen sofortigen Wechsel zu europäischen Anbietern.  

Fazit 

Wie Sie sehen, geht jede Landesbehörde anders mit dem Urteil um. Fest steht jedoch, dass nun bundesweit Kontrollen stattfinden und Bußgelder verteilt werden. Daher raten wir dringend zu einer eingehenden Überprüfung der eingesetzten Drittanbieterservices auf Ihrer Website und ggf. einem Wechsel zu europäischen Alternativen. Wenn Sie sich an die oben genannten Handlungsempfehlungen halten, wird dies das Bußgeldrisiko deutlich mindern. Mehr als das können Sie nicht tun.

Ihr Ansprechpartner: Jörg ter Beek

Privatsphäre aus Prinzip

Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.

Titelbild Photo by Raul Najera on Unsplash