Privacy-Shield-Abkommen und Datentransfer in die USA
Sie haben es sicher der Tagespresse entnommen, am 16. Juli 2020 hat der EuGH das 2016 in Kraft getretene Privacy-Shield-Abkommen für ungültig erklärt.
Was ist eigentlich dieses Privacy-Shield?
Es gibt eine Reihe von Ländern, bei denen angenommen wird, dass dort ähnliche Datenschutzstandards herrschen wie in der EU. Dazu gehören etwa Israel, Kanada, die Schweiz, Neuseeland oder auch Japan. Nicht zu diesem Kreis gehören allerdings die USA.
Ein amerikanisches Unternehmen konnte sich daher in ein Verzeichnis eintragen lassen und verpflichtete sich damit, die Datenschutzrechte der europäischen Bürger angemessen zu würdigen. Dieses Verzeichnis heißt Privacy Shield. Es bestand in der Praxis im Wesentlichen daraus, dass sich ein amerikanisches Unternehmen in ein vom U. S. Department of Commerce geführtes Verzeichnis eintragen und einige Selbstverpflichtungen abnicken musste. Viel wert war das nicht. Einen wirklichen Schutz der Daten von EU-Bürgern enthielt das Abkommen nicht. Diese sind und waren nahezu uneingeschränkt den Zugriffen der US-Geheimdienste und diverser Behörden ausgesetzt. Man kennt das bestens aus diversen Netflix-Produktionen wie Homeland. CIA und NSA hören überall mit, sogar bei unserer Kanzlerin. Deshalb hat der EuGH das Privacy-Shield-Abkommen gekippt.
Was ist die Alternative und was können Unternehmen tun?
Neben dem Privacy-Shield prüfte der EuGH in seiner Entscheidung auch die so genannten Standardvertragsklauseln auf ihre Wirksamkeit. Diese stellen eine alternative Rechtsgrundlage zum transatlantischen Datenverkehr dar. Wer diese Vorgaben nutzen will, muss einige Klauseln, welche von der EU vorgegeben sind, mit seinem amerikanischen Partner vertraglich vereinbaren. Im Rahmen dieser Vertragsbestandteile wird zwischen den Partnern ein datenschutzfreundlicher Umgang mit persönlichen Informationen vereinbart.
Die Folge: Unternehmen können umfangreiche transatlantische Datentransfers nur noch rechtssicher vornehmen, wenn sie auf Basis der sogenannten Standardvertragsklauseln stattfindet. Der EuGH hat die Standardvertragsklauseln in ihrer Wirksamkeit bestätigt und damit zumindest den Stillstand des weltweiten Datentransfers verhindert. US-Anbieter bieten die EU-Model-Clauses / Standard Contractual Clauses inzwischen häufig als Alternative an.
Allerdings sagt der EuGH auch, dass die lokalen Datenschutzbehörden im EU-Mitgliedsstaat einen Datenexport verbieten müssen, wenn sie der Auffassung sind, dass die Standardvertragsklauseln im betreffenden Land nicht eingehalten werden.
Wie geht es weiter mit Datentransfers in die USA?
Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), sieht in dem Urteil eine Stärkung der Rechte der Bürger. Der EuGH mache deutlich, „dass internationaler Datenverkehr weiter möglich ist“. Dabei müssten aber die Grundrechte der europäischen Bürgerinnen und Bürger beachtet und „besondere Schutzmaßnahmen ergriffen“ werden. Das ist zunächst mal eher allgemein, vermutlich weil die Behörden auch noch nicht genau wissen was sie tun sollen. Im Grunde haben die Aufsichtsbehörden jetzt den schwarzen Peter in der Hand.
Strenger legt die Datenschutzbeauftragte Berlins, Maja Smoltczyk, das Urteil aus. Sie beschwört die digitale Eigenständigkeit Europas und fordert sämtliche Verantwortliche auf, „umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“.
Das ist sicher derzeit nicht ganz realistisch, wenn man bedenkt wie viele US-Datenverarbeitungsdienste, wie etwa Microsoft Office 365, Teams, Google-Dienste, Zoom, Cisco WebEx u.v.a., bei europäischen Unternehmen im Einsatz sind.
Eine schnelle politische Lösung für den transatlantischen Datenverkehr ist derzeit auch unwahrscheinlich. Es ist kaum zu erwarten, dass eine Trump-Regierung den Bitten der Europäer nach mehr Datenschutz für die eigenen Bürger nachkommen wird. Dort hat man gerade sicher andere Themen auf der Agenda. Ebenso wird ein Joe Biden, sollte er im November die Wahl gewinnen, die eigenen Geheimdienste und Behörden in ihren Zugriffsmöglichkeiten wohl auch kaum beschneiden. Europäische Firmen und Anwender müssen sich auf einen längeren Zeitraum mit rechtlicher Ungewissheit einstellen.
Datenspeicherung in der EU prüfen
Unternehmen sollten die Entscheidung des EuGH daher durchaus zum Anlass nehmen, um die tatsächliche Erforderlichkeit von US-Datentransfers und die Möglichkeiten einer Datenverarbeitung in der EU zu prüfen. Inzwischen gibt es vermehrt auch alternative EU-Anbieter, etwa bei Webkonferenzen / Webmeetings oder es gibt bei den US-amerikanischen Cloud-Anbietern die Auswahl / Option die Daten auf Servern in der EU zu verorten, bei denen ein Zugriff der amerikanischen Geheimdienste zumindest mit größeren Hürden versehen ist.
Es bleibt jedenfalls ein spannendes Thema. Sollte sich akuter Handlungsbedarf ergeben werden wir selbstverständlich berichten.
Bei Fragen, Anregungen – gerne melden.
Thomas Lang