Das Privacy Shield ist tot

Privacy Shield ist tot

 

Mitten im Sommer hat der EuGH am 16.07.2020 ein folgenschweres Urteil verkündet

Manche erinnern sich vielleicht an eine ganz ähnliche Situation aus dem Jahr 2015, in der das Safe-Harbor-Abkommen gekippt wurde. Wie damals hat auch dieses Mal der österreichische Datenschutzaktivist Max Schrems vor dem EuGH Recht bekommen. Auch nach diesem Urteil wird eine Verarbeitung personenbezogener Daten, hauptsächlich in den USA, zu einem Problem. Betroffen sind aber auch Verarbeitungen in beispielsweise China, Russland oder Indien.

Im Kern hat der EuGH den Angemessenheitsbeschluss der EU-Kommission zum EU-US-Datenschutzschild (Privacy Shield) für ungültig erklärt. Aus Datenschutzsicht ist das durchaus zu befürworten, da sich kein US-Unternehmen gegen den staatlichen Zugriff auf die, bei ihm verarbeiteten Daten wehren kann. Praktisch ist das plötzliche „Aus“ aber ein riesiges Problem für viele Unternehmen und Webseitenbetreiber. Betroffen sind alle, die personenbezogene Daten in die USA übertragen, von der Einbindung von Youtube-Videos und Google Fonts über die Nutzung von Newsletter- oder CRM-Anbietern bis hin zu Office 365. Wenn es nach der Berliner Beauftragtem für Datenschutz und Informationsfreiheit Maja Smoltczyk geht, sollten Nutzer von Diensten in den USA umgehend zu einem EU-Dienstleister oder zu einem Dienstleister in einem anderen Land mit angemessenem Datenschutzniveau wechseln. Das ist einfach gesagt, aber leider schwer umzusetzen. In der EU finden sich für viele Anwendungen leider keine vergleichbaren Dienstleister.

Fakt ist, dass die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield unzulässig ist und unverzüglich eingestellt werden muss.

Was sollten Sie jetzt tun?

Erst einmal eine Bestandsaufnahme machen.

  • Wo werden personenbezogene Daten in die USA übertragen?
  • Alle Auftragsverarbeitungsvereinbarungen auf Subunternehmer aus den USA prüfen.
  • Sichere Alternativen suchen und bei neuen Dienstleistern auf Datenverarbeitung außerhalb der USA achten.

Was haben Sie für Möglichkeiten, wenn Sie keine alternativen Anbieter finden?

Ehrlich gesagt kaum eine. Die möglichen Alternativen: Standardvertragsklauseln, Binding Corporate Rules, der Art. 49 DSGVO oder schlicht auf einen neuen Angemessenheitsbeschluss warten, sind meiner Meinung nach leider keine wirkliche Lösung.

Im Einzelnen:

  • Standardvertragsklauseln sind von der EU vorgegebene Formulierungen für Verträge, die ein angemessenes Datenschutzniveau garantieren sollen. Die EU-Standardvertragsklauseln bleiben grundsätzlich gültig, reichen aber ohne zusätzliche Maßnahmen grundsätzlich nicht aus. Ob sich damit der Zugriff der Nachrichtendienste wirksam aushebeln lässt, ist zusätzlich fraglich.
  • Für Binding Corporate Rules (BCR) gilt prinzipiell dasselbe.
  • Art. 49 DSGVO erlaubt die Übermittlung personenbezogener Daten ohne Angemessenheitsbeschluss, wenn die betroffene Person einwilligt und wenn sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen informiert wird. Aber kennen Sie alle möglichen Risiken?
  • Der Art. 49 DSGVO eröffnet noch eine weitere Möglichkeit. Falls die Datenübertragung direkt oder indirekt für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen notwendig ist, wäre sie statthaft. Zur Anwendung hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht. Die praktische Umsetzung ist aber nicht ganz trivial.
  • Auf einen neuen Angemessenheitsbeschluss zu warten, könnte auch etwas länger dauern. Das würde voraussetzen, dass die USA die Zugriffsrechte auf die Daten einschränkt. Ob das mit der Trump-Administration möglich ist, halte ich für sehr fraglich.

Das Urteil im Volltext ist hier zu finden: EuGH, Urteil vom 16.07.2020, Az.: C-311/18