Privacy Shield

Privacy Shield
Pragmatische Lösungskonzepte für Datenschutz & Digitalisierung.
check_circle
35 Kolleginnen und Kollegen
check_circle
3 Standorte, bundesweit tätig
check_circle
Branchenbezogene Konzepte

Am 16.07.2020 hat der EuGH das EU-US Privacy Shield für ungültig erklärt. Damit ist eine der wenigen vorhandenen Rechtsgrundlagen für die Übermittlung von personenbezogenen Daten in die USA weggefallen. Eine Übergangsfrist hat der EuGH den Organisationen nicht gewährt. Das Urteil ist mit Bekanntgabe gültig und sorgt seitdem für viel Kopfzerbrechen – bei Organisationen, Datenschutzexperten und auch bei Datenschutz-Aufsichtsbehörden. Die Organisationen müssen ihre Datenübermittlung nun auf eine andere Rechtsgrundlage stützen oder im Zweifel einstellen. Standardvertragsklauseln könnten eine Lösung sein, sind mit dem Urteil jedoch auch unter Beschuss geraten. Was es zu beachten gibt, erfahren Sie in diesem Beitrag.

Was ist genau passiert?

Der Datenschutz-Aktivist Max Schrems klagte vor dem EuGH gegen die Übermittlungspraktiken von Facebook. Schrems Ausführung zur Folge übermittelte die irische Facebook-Tochter unrechtmäßig seine personenbezogenen Daten in die USA. Im Rechtsstreit ging es zunächst um die Standardvertragsklauseln von Facebook (Facebook Irland zu Facebook USA). Der EuGH gab Max Schrems Recht. Darüber hinaus stellte der EuGH fest, dass in den USA generell kein angemessenes (oder gleichwertiges) Schutzniveau existiert. Dem zur Folge wurde der Angemessenheitsbeschluss fürdie USA – das sogenannte EU-US Privacy Shield – für ungültig erklärt. Darüber hinaus wurden ebenfalls die Standardvertragsklauseln torpediert. Einzig eine Übermittlung von personenbezogenen Daten in Drittstaaten außerhalb der EU bzw. des EWR auf ein vertragliches Konstrukt zu stützen, reicht demnach nicht mehr aus. Verantwortliche Stellen sind verpflichtet zu überprüfen, ob im Drittland behördliche Befugnisse existieren, die eine Herausgabe der personenbezogenen Daten erwirken können. Ist dies der Fall, sind weitere Maßnahmen zum Schutz der personenbezogenen Daten herzustellen.

Diese Befugnisse existieren in den USA. Geheimdienste haben, laut dem Urteil des EuGH, weitreichende Befugnisse und unterwandern das von der DSGVO geforderte Schutzniveau. Damit ist bei einer Übermittlung von personenbezogenen Daten in die USA in den meisten Fällen der Abschluss von Standardvertragsklauseln nicht mehr ausreichend. Verantwortliche Stellen müssen, gemeinsam mit dem Dienstleister, weitere technische und organisatorische Maßnahmen implementieren, die das geforderte Schutzniveau herstellen.

Was sind Standardvertragsklauseln

Standardvertragsklauseln sind meist dann relevant, wenn eine verantwortliche Stelle beabsichtigt, personenbezogene Daten in Drittländer außerhalb der EU und des EWR zu übermitteln. Hierbei handelt es sich um ein vertragliches Konstrukt, welches die Verträge zur Auftragsverarbeitung ergänzt. Der EuGH stellte jedoch fest, dass ein vertragliche Konstrukte allein das Schutzniveau nicht erhöhen kann – insbesondere deshalb, weil nationale Gesetzgebungen im Zielland damit nicht ausgehebelt werden können.

Die Standardvertragsklauseln existierten schon weit vor der DSGVO und genauso lange herrscht auchKritik an diesem Konstrukt. Kritiker dürfen sich nun mit dem Urteil bestätigt fühlen.

Nichtsdestotrotz bieten Standardvertragsklauseln, neben Binding Corporate Rules, Einwilligungen oder einem Angemessenheitsbeschluss, die einzige Möglichkeit, personenbezogene Daten in ein Drittland zu übermitteln – auch wenn beim Einsatz der Standardvertragsklauseln, spätestens seit dem16.07.2020, neue Hürden geschaffen wurden.

Die EU überarbeitet derzeit die Standardvertragsklauseln, um dem Urteil des EuGH gerecht zu werden. Das ist richtig und wichtig, da es in einer globalisierten Welt utopisch erscheint, dass europäische Unternehmen keine Auftragsverarbeiter außerhalb der EU einbinden dürfen. In weiten Teilen der deutschen und europäischen Wirtschaft werden Cloud-Anwendungen US-amerikanischer Diensteanbieter eingesetzt eine „Rückabwicklung“ ist nur mit hohem Aufwand zu bewerkstelligen. Meist fehlt es jedoch an Alternativen und die betroffenen Organisationen befinden sich (mehr oder weniger) in einer Abhängigkeit zum Auftragsverarbeiter / Dienstleister.

Welche Verarbeitungen sind betroffen?

Grundsätzlich sind von dem Urteil alle Verarbeitungen betroffen, bei denen personenbezogene Daten an einen Auftragsverarbeiter in einem Drittland übermittelt werden. In den meisten Fällen handelt es sich hierbei um Auftragsverarbeiter aus den USA. Doch auch andere Auftragsverarbeitungen außerhalb der EU und des EWR sind betroffen. Folgende Auflistung soll ein Gefühl für das Ausmaß geben, sie ist jedoch (bei weitem) nicht abschließend. Bei der großen Anzahl an weltweiten Dienstleistern würde eine vollständige Liste jeglichen Rahmen sprengen (textlich und zeitlich).

check_circle
Microsoft 365 (Azure AD, Exchange, Teams, etc.)
check_circle
eingebundene Google Dienste (Analytics, Drive, Fonts, Maps, etc.)
check_circle
Amazon Web Services (sehr oft im Hintergrund vieler unterschiedlicher CloudDienstleistungen, auch aus DE)
check_circle
GoToMeeting, Webex, Zoom
check_circle
Google ID (Android Smartphones) und Apple-ID (iPhone und iPad)
check_circle
Akamai und Cloudflare (größte Content Delivery Network und Web Application Firewall Anbieter weltweit)
check_circle
Dropbox, Box.com und anderen Speicher-Dienstleister
check_circle
Facebook, Twitter
check_circle
Cloud-Virenschutz wie Palo Alto Networks, manche Cisco WLANs und andere per Cloud gesteuerte Netzwerk-Komponenten
check_circle
Slack, Atlassian-Tools

Ausblick

Am 16.07.2020 hat der EuGH die Bombe platzen lassen und verantwortliche Stellen in die Pflicht genommen, ihre Datenverarbeitung in Drittstaaten kritisch zu prüfen. Datenschutzrechtlich ist dieses Urteil zu begrüßen, da spätestens mit den Enthüllungen von Edward Snowden deutlich wurde, wie massiv sich die Persönlichkeitsrechte in der EU und den USA unterscheiden. Doch entspricht dies auch heute, mehr als sieben Jahre nach den Enthüllungen, noch der Wahrheit? Nach den Terroranschlägen von Wien plant die EU als Reaktion, dass Messenger-Dienste (WhatsApp, Telegramm und Co.) dazu verpflichtet werden sollen, Ihre Verschlüsselung zumindest für Behörden „aufzugeben“1. Konkreter: Es ist geplant, dass die Unternehmen die Schlüssel zur Entschlüsselung derChatverläufe bei den Behörden hinterlegen. Ziel soll es sein, einfacher in die Kommunikation hineinschauen zu können. Europa steht also vor der Sinnfrage „Wie viel Freiheit (oder Persönlichkeitsrechte) soll für Sicherheit aufgegeben werden?“.

Ob solch ein Gesetz in Zukunft verabschiedet wird, bleibt abzuwarten. Es bleibt ebenfalls abzuwarten, ob dies anschließend Auswirkungen auf die Beurteilung des Schutzniveaus in einem Drittland hat. Bis dahin gilt jedoch: Aufsichtsbehörden sind dazu verpflichtet, „illegale“ Datenübermittlungen in Drittstaaten zu identifizieren, auszusetzen und im Zweifel auch zu sanktionieren. Organisationen in Deutschland und der EU sind daher aufgerufen, ihre eigenen Verarbeitungen zu prüfen, Drittlandtransfers zu identifizieren und zu bewerten.

In vielen Fällen wird für die ein oder andere Verarbeitungstätigkeit eine Risikobetrachtung notwendigsein – datenschutzrechtlich gesprochen: Es sind Datenschutz-Folgenabschätzungen durchzuführen.

Darüber hinaus kann das Urteil und das Ergebnis der Datenschutz-Folgenabschätzung Einfluss auf die eigene IT-Strategie haben.

Gerne unterstützen wir Sie bei der Identifikation von Drittlandtransfers, bei der Durchführung der Datenschutz-Folgenabschätzung(en) und der Ausarbeitung einer zukunftsfähigen IT-Strategie.

Hinweis: Eine Chronologie der Ereignisse rund um das Scheitern des EU-US Privacy Shield können Sie unserem News entnehmen.

1 www.heise.de 

Sie haben Fragen zum Privacy Shield?

Kontaktieren Sie uns gerne, wenn Sie Fragen oder Unterstützung zu diesem Thema benötigen.
Unsere Experten stehen Ihnen jederzeit zur Verfügung.

zurücksetzen