INTERNET WORLD Business Logo Abo
Security 21.09.2020
EU-US-Privacy-Shield
Security 21.09.2020

Rechtsanwalt Hajo Rauschhofer

Privacy Shield ist gescheitert: Worauf sich Unternehmen jetzt vorbereiten müssen

shutterstock.com/Fabian Junge
shutterstock.com/Fabian Junge

Der EuGH hat das Datenschutzabkommen der EU mit US-Unternehmen für nichtig erklärt. "Davon ist quasi jedes Unternehmen betroffen", sagt der Anwalt und Datenschutzexperte Dr. Hajo Rauschhofer. Er erklärt, wie deutsche Firmen mit der Situation umgehen sollen.

von Dr. Hajo Rauschhofer

Dass der EuGH den EU-US Privacy Shield gekippt hat, dürfte sich zwischenzeitlich herumgesprochen haben. Für die Beratungspraxis bedeutet dies, Lösungen für den Datentransfer in die USA zu finden - wenn es denn welche gibt.

Im unternehmerischen Verkehr genauso wie bei Online Shops werden in der Praxis bei fast allen Konstellationen US-Anbieter genutzt, sei es etwa Salesforce oder seien es andere angebundene Services und Applikationen.

Standardvertragsklauseln helfen nicht

Manche vertreten die Meinung, man könne die vom EuGH die nicht für unwirksam erklärten Standardvertragsklauseln (SVK) der EU zur Anwendung bringen. Doch dieser Ansatz greift datenschutzrechtlich zu kurz, da die SVK für eine Datenübermittlung außerhalb der EU nur dann zulässig sind, wenn es sich um ein "sicheres Drittland" handelt.

Hajo Rauschhofer

Dr. Hajo Rauschhofer ist Rechtsanwalt und Fachanwalt für Informationstechnologierecht (IT-Recht) in Wiesbaden.

Rauschhofer Rechtsanwälte

Vereinfacht ausgedrückt bedeutet dies, dass der Empfänger der Daten die Anforderungen der SVK auch tatsächlich in seinem Land sicherstellen können muss. Da die USA aufgrund der umfangreichen Eingriffsrechte der US-Geheimdienste als nicht sicheres Drittland gelten, hatte man den EU-US Privacy Shield installiert, so dass solche Unternehmen, die unter diesem Shield zertifiziert wurden, als zulässige Datenempfänger gelten konnten. Da aber die USA weder ein sicheres Drittland ist, noch die Privacy Shield-Regelung weiter Gültigkeit hat, können auch die SVK hier nicht ohne weiteres weiterhelfen. Dies ist auch der Grund, warum vor einigen Tagen die irische Datenschutzbehörde Facebook angewiesen hat, den Transfer von Daten seiner EU-Nutzer in die USA auszusetzen.

Was sagen die Datenschützer?

Die Landesdatenschutzbehörden sind hier insgesamt noch in der Findungsphase; teilweise wird vertreten, dass man durch technische Lösung ein Datenschutzniveau erreichen könnte, so dass durch Einsatz der SVK zusammen mit zusätzlichen Garantien eine Übermittlung dann zulässig wäre, wenn dadurch ein Zugriff durch die US-amerikanischen Geheimdienst effektiv verhindert und so die Rechte der betroffenen Personen geschützt werden.
 
Technisch denkbar ist daher der Einsatz von Verschlüsselung, bei der nur der Datenexporteur den Schlüssel hat. Dieser Ansatz klingt zwar im ersten Moment viel versprechend, ist aber in der praktischen Konstellation mit Diensten wie etwa Salesforce kaum praktikabel, so dass außer in nur ganz eng begrenzten Fallkonstellationen auch dies keine Lösung für die Mehrzahl von Datentransfers in die USA darstellen dürfte.

Mail an die Auftragsverarbeiter

Streng genommen ist also jeglicher Datentransfer personenbezogener Daten in die USA, selbst beim Einsatz von SVK, datenschutzwidrig. Deshalb empfehlen einige Datenschutzbehörden, alle Auftragsverarbeiter, die personenbezogene Daten unter dem Privacy Shield in die USA übermitteln oder dort verarbeiten, umgehend schriftlich bzw. per E-Mail anzuweisen, die Übermittlung personenbezogener Daten in die USA mit sofortiger Wirkung auszusetzen, bis ihr Auftragsverarbeiter respektive dessen Unterauftragnehmer im Einzelfall ein der DSGVO entsprechendes Datenschutzniveau, etwa durch Einsatz alternativer Verarbeitungs- und Transfermechanismen, sichergestellt hat.
 
Ein solcher Schritt kann auch dazu beitragen, die Datenschützer milde zu stimmen. Aus informellen Quellen hört man, dass zumindest einige Datenschutzbehörden mit einer Art "Grace Period" derzeit von einer Verhängung von Untersagung und Bußgeldern absehen, soweit sich der Datenexporteur bestmöglich "bemüht" datenschutzkonform zu handeln. Zum Beispiel, wenn er dokumentiert, dass er von seinen Auftragsverarbeitern über die SVK hinaus weitere Garantien zur Sicherstellung des Datenschutzniveaus fordert.

Was Sie jetzt tun sollten

  1. Wenn möglich, sollten Sie ab sofort jegliche Datentransfers in die USA unterbinden. Weisen Sie auch alle Unternehmen an, die Daten für Sie verarbeiten oder speichern, dies zu tun.

  2. Soweit dies im Rahmen der Opportunitätserwägungen nicht möglich ist, weil dann das gesamte Unternehmen und/oder Geschäft zusammenbrechen würde, könnten Sie auf Zeit spielen und die Übergangsfrist bis zur Vereinheitlichung der Meinungen der Datenschutzbehörden wie auch des European Data Protection Boards (EDPB) abwarten. Die Erfolgsaussichten sind allerdings begrenzt, denn es ist kaum zu erwarten, dass die derzeitige US-Administration auf die europäischen Datenschutzanforderungen zugeht.

  3. Sehen Sie sich nach datenschutzkonformen Alternativen um. Da Transition und Migration der Daten eine gewisse Zeit in Anspruch nehmen könnten, sollten Sie das auch einkalkulieren.

Ist eine Lösung nahe?

Wegen der nach EU-Maßstäben starken Grundrechtseinschränkungen durch die Möglichkeiten der US-Geheimdienste dürfte es nach Einschätzung des Autors auf absehbare Zeit keine datenschutzrechtskonforme Lösung für einen Transfer in die USA geben, so dass entweder US-Unternehmen eigenständige Angebote innerhalb der EU anbieten oder Nachfrager eben nur EU-Anbieter aussuchen werden.

Das könnte Sie auch interessieren