EUGH kippt Privacy Shield Abkommen mit der USA

Der Europäische Gerichtshof hat das Datenschutzabkommen mit der USA und der Europäischen Union für ungültig erklärt. Diese Entscheidung kam nicht überraschend. Aufgrund von amerikanischen Gesetzen ist es auch nicht möglich sich auf die Standardvertragsklauseln zu berufen. Es sei jedem geraten, jetzt schnell zu handeln. Es gibt keine Schonzeit.

erstellt am 27. August. 2020 - in

schloss mit schlüssel
PDPics auf Pixabay

Beitragsbild austauschen

Was ist das EU-US Privacy Shield

Fälschlicher Weise wird das EU-US Privacy Shield oft als Zertifizierung von US-Unternehmen bezeichnet. Eine Zertifizierung bedeutet, dass ein Verfahren die Einhaltung bestimmter Anforderungen nachgewiesen hat. Dies ist bei dem PrivacyShield nicht der Fall.

Das Privacy Shield auch Datenschutz Schild, war eine Absprache die 2015 bis 2016 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurden, nachdem das Safe Harbor (Sicherer Hafen) Abkommen für ungültig erklärt wurde. Die EU-Kommission hatte beschlossen, dass das Privacy Shield Abkommen dem Europäischen Datenschutz entspreche. Somit war es möglich, das personenbezogene Daten zwischen dem Drittland USA und der Europäischen Union ausgetauscht werden konnten.

Warum wurde das Privacy Shield für ungültig erklärt

Spätestens seit 2013, durch Edward Snowden, war bekannt, dass die Europäischen Datenschutzstandards nicht eingehalten werden können. Mehrere Bürgerrechtsorganisationen und Datenschützer monierten, dass das Abkommen nicht verbindlich ist und weiterhin Massenüberwachung durch die amerikanische Regierung zulässig war. Seit 2018 gilt der Cloud Act, der es der Amerikanischen Regierung erlaubt, auch auf Daten die US-Unternehmen in anderen Ländern gespeichert haben zu zugreifen ohne die betroffenen Personen zu informieren. Ein Rechtsstreit zwischen der Amerikanischen Regierung und Microsoft, die den Zugriff auf Daten außerhalb der USA verhindern wollte hatte sich damit erledigt.
Nachdem 2015 Safe Harbor, mit der Begründung, dass personenbezogene Daten in den USA keinen gleichen Datenschutz genießen wie in der Europäischen Union, als ungültig erklärt wurde. Beschloss die EU-Kommision wider besseren Wissens, dass das Privacy Shield dem Europäischen Datenschutz entspreche. Dieses wurde am 16. Juli 2020 vom Europäischen Gerichtshof verneint.
Daten europäischer Bürger, die von Europa an z.B. amerikanische Social-Media-Anbieter, Cloud-Dienstleister oder ähnliche Dienstleistungen übertragen werden, sind dem Risiko jederzeitiger, anlassloser, gerichtlich nicht überprüfbarer Kontrolle durch NSA oder FBI ausgesetzt. Das hält der Europäische Gerichtshof zu Recht für untragbar.

Dürfen keine Daten mehr nach USA übermittelt werden?

Die DSGVO schützt Persönlichkeitsrechte, nach Datenschutzsicht können alle Daten die nicht personenbezogen sind weiterhin auf amerikanischen Servern bzw. bei amerikanischen Unternehmen gespeichert werden. Wieweit es sinnvoll oder erlaubt ist Geschäfts- und Betriebsgeheimnisse auf US-Servern zu speichern ist nicht Bestandteil dieses Artikels. Die Übermittlung personenbezogener Daten ist nach Artikel 49 weiterhin möglich, soweit die Bedingungen des Artikel 49 gewährleistet sind.

Hier wäre z.B Artikel 49 Absatz 1 Punkt a:

die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,

Artikel 49 Absatz 1 lit a DSGVO

Sie müssen sich die Zustimmung holen, dass Daten ohne zuverlässigen Schutz von Ihren Mitarbeitern, Kunden oder Lieferanten in den USA gespeichert werden können. Sie müssen die betroffenen Personen über die Risiken aufklären. Dies bedeutet aktuell, dass die betroffenen Personen so gut wie keine Datenschutz- oder Persönlichkeitsrechte besitzen. Die US Regierung darf auf jegliche Daten zugreifen, diese mit anderen Daten zusammenführen auswerten und so weiter. Das Urteil Schrems II [1] ist ca. 163 Seiten lang, wer möchte kann sich einen Kaffee nehmen und sich die Begründungen in Ruhe zu Gemüte führen. Nach einer entsprechenden Aufklärung werden Sie sicherlich von kaum jemanden eine Zustimmung bekommen. Zumal Sie auch nachweisen müssen, dass die Zustimmung freiwillig ist und damit rechnen müssen, das die Zustimmung jederzeit zurück genommen werden kann.

Fazit: Diese Möglichkeit ist in den meisten Fällen nicht praxistauglich.

Eine Ausnahme ist im Artikel 49 Absatz 1 Punkt b und c beschrieben, natürlich können personenbezogenen Daten in die USA übermittelt werden, wenn z.B. ein Hotel, ein Flug oder ein Auto gebucht bzw. gemietet werden soll.

Das US-Unternehmen hat seinen Serverstandort in der Europäischen Union!

Durch den US Cloud Act, müssen amerikanische Firmen der US-Regierung Zugriff auf Daten außerhalb der USA ermöglichen. Es kann den US-Dienstleistern und Internetfirmen verboten werden, Nutzer über solche heimlichen Abfragen zu informieren. Somit ist es nicht relevant wo der Server steht. Einzig relevant ist, dass die Daten bei einem US-Unternehmen gespeichert werden.

Das Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt.

US-Cloud Act Wikipedia

Können Standardvertragsklauseln zur Übermittlung von personenbezogenen Daten genutzt werden

Für die Übermittlung von personenbezogenen Daten können die Standardvertragsklauseln weiterhin genutzt werden. Der EuGH verlangt das der Verantwortliche und der Empfänger zu bewerten haben ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der Union sicher stellen. Dies hat das Gericht aber für die USA verneint. Somit ist die Nutzung der Standardvertragsklauseln für den Datenaustausch mit US-Unternehmen meistens keine Lösung.

Sie müssen für jede Übermittlung prüfen, ob ggf. mit zusätzlichen Maßnahmen, das US-Recht das von Ihnen sicher zustellende angemessene Schutzniveau der Union nicht beeinträchtigt.

Kann dies nicht nachgewiesen werden, müssen Sie die Übermittlung aussetzen oder beenden. Beabsichtigen Sie trotzdem eine weitere Übermittlung von personenbezogenen Daten, müssen Sie dies Ihrer Aufsichtsbehörde mitteilen.

Wen betrifft das Urteil?

Das Urteil betrifft jede natürliche Person die Daten in Ausübung einer beruflichen oder wirtschaftlichen Tätigkeit verarbeitet. Also den Soloselbständigen, Nebenberufler, Freiberufler, den Handwerksbetrieb bis zum Großunternehmen.

Welche Maßnahmen sind notwendig?

Da es keine Schonfrist gibt und mit der Ungültigkeit des Privacy Shield keine Rechtsgrundlage zur Datenübermittlung in die USA mehr besteht, sollte schnell gehandelt werden. Sich darauf zu verlassen, dass schon nichts passiert und munter personenbezogenen Daten an US-Unternehmen zu übermitteln wäre fahrlässig. Die ersten Ermittlungen von Datenschutzbehörden und Aktivisten gegen Tracking-Technologien, die personenbezogen Daten an US-Firmen übermitteln haben begonnen oder sind in Vorbereitung.

Überprüfen Sie welchen Dienstleister Sie auf Grundlage des Privacy Shield nutzen

Oft ist es Verantwortlichen gar nicht bewusst wo überall personenbezogene Daten verarbeitet werden. Es liegt ja auch nicht in der Natur der Datensammler transparent darüber aufzuklären was wo wie gesammelt wird.
Bei Google Mail oder auch Gmail werden die E-Mail und Metadaten Ihrer Kontaktdaten gespeichert. Baukastensysteme und CMS können Daten abgreifen und/oder unberechtigt verarbeiten. Der Provider Ihrer Internetseite hat zwar seinen Serverstandort in Deutschland seine Auftragsverarbeiter sind aber US-Unternehmen.

Prüfen Sie in Ihrem Verzeichnis für Verarbeitungstätigkeiten:

  • bei welchen Verarbeitungstätigkeiten Sie sich auf die Rechtsgrundlage des Privacy Shield berufen
  • wo werden Auftragsverarbeiter eingesetzt
    • verwenden diese Unterauftragsverarbeiter die sich auf das Privacy Shield berufen
    • verwenden diese Software die sich auf das Privacy Shield berufen
  • wo wird Software genutzt, die nicht lokal auf dem Rechner installiert ist
    • wo werden diese Daten gespeichert
    • wer hat zugriff auf diese Daten

Suchen Sie eine Datenschutzkonforme alternative

  • Überprüfen Sie ob der neue Dienstleister Auftragsverarbeiter in der USA haben.
  • Wo speichert der neue Dienstleister seine bzw. Ihre Daten
  • Welche alternative Software gibt es, die ggf. bei einem datenschutzkonformen Dienstleister gehostet wird
  • Welche alternative Software gibt es, die ggf. auch lokal genutzt werden kann

Überprüfen Sie Ihre Internetseite auf Serviceprogramme die Daten in die USA übertragen

  • Facebook Connect
  • Google Dienste wie Google Fonts, Google Analytic, Google Captcha etc.
  • Cookies die gesetzt werden, und nicht technisch für den Betrieb der Internetseiten notwendig sind
    ohne informierte und freiwillige Erlaubnis

Wie geht es weiter?

Gerne unterstütze ich Sie bei der Prüfung Ihrer Dienstleister und bei der Implementierung von Alternativen. Kontaktieren Sie mich für ein erstes Gespräch.

Bitte beachten Sie, dass die Informationen auf diesen Internetseiten keine Rechtsberatung darstellen. Die hier vorliegenden Informationen sollen Ihnen nur einen ersten Überblick ermöglichen, sie stellen selbst jedoch keine Rechtsberatung dar.

Kommentare sind geschlossen.