„Schrems II“ bringt das Privacy Shield zu Fall – #whatsnext?

Das EU-US Privacy Shield wurde im Juli 2020 vom europäischen Gerichtshof für unwirksam erklärt.

Datenschutzaktivist Max Schrems hat es erneut geschafft. Nachdem bereits das Safe Harbor Abkommen durch seine Klage vor dem Europäischen Gerichtshof sein Ende fand (Schrems I Urteil), wurde nun auch das Privacy Shield gekippt.

Trotz Nachbesserungen, sei nicht ausreichend sichergestellt, dass die Daten von EU-Bürgern bei der Verarbeitung in den USA ausreichend geschützt sind. Vor allem die Sorge vor dem Zugriff von Behörden wie beispielsweise der NSA oder des FBI stand im Fokus der Untersuchungen.

Zwar mussten alle sich auf der Liste des Abkommens befindlichen Firmen verpflichten, sämtliche vereinbarte Rahmenbedingungen einzuhalten; der Akt der Eintragung auf diese Liste war allerdings freiwillig. Die Transparenz war somit äußerst fraglich. Auch der Einsatz einer Ombudsperson konnte die Richter am EuGH nicht überzeugen, einen ausreichenden Schutz der Daten von Bürgern der EU sicher zu stellen. Die nötige Unabhängigkeit wurde angezweifelt.

Durch das Kippen des Privacy Shields ist nun in vielen Fällen die Übertragung von personenbezogenen Daten von Europa in die USA illegal. Eine Verletzung durch eine europäische Firma kann, wie viele andere Datenschutzverstöße auch, schwerwiegende Folgen haben. Die möglicherweise zu erwartenden Strafen können, wie vielen bekannt ist, zweistellige Millionenbeträge sein oder bis zu 4% des konzernweiten Jahresumsatzes, je nach dem was höher ausfällt.

Der Schutz ist weg – wie geht es weiter?

Dass diese Entscheidung für die digitalen Platzhirsche, wie zum Beispiel Facebook (384 Mio. Nutzer in Europa), den absoluten Supergau darstellt, muss an dieser Stelle nicht extra erwähnt werden. Aber auch KMU stehen vor neuen Herausforderungen und Aufgaben die es nun zu erkennen und dann zu meistern gilt.

Beispiel: Newsletter versenden noch erlaubt?

Anzeige

Ein besonderes Feld stellt nun auch der Versand von Newslettern dar. Die Grundlage sind hier genau jene personenbezogenen Daten, die es nun anders zu schützen gilt. Also drängt sich die Frage auf : Dürfen wir weiterhin Newsletter versenden?

Eine allgemeine Antwort lässt sich auf diese Frage leider nicht geben. Es hängt vor allem davon ab, in welchem Land der Newsletter-Anbieter seinen Sitz hat. Ist er in Europa beheimatet und werden auch alle personenbezogenen Daten in einem europäischen Mitgliedsstaat gespeichert, kann der Versand weiterhin erfolgen, denn diese Anbieter sind vom Privacy Shield nicht betroffen.

Ebenso Probematisch gestaltet sich das Schalten von Online-Anzeigen über Anbieter wie zum Beispiel GoogleAds. Anders stellt es sich bei Anbietern dar, die ihren Sitz in einem Drittland haben. Viele US-amerikanische Anbieter nutzten bisher ihre Privacy-Shield Zertifizierung, um ausreichenden Schutz der Daten zu belegen. Doch seit der Entscheidung des EuGH sind diese wertlos. Solche Unternehmen versuchen nun emsig ihre Nutzer durch Statements zu beruhigen und versichern ihnen, dass einer weiteren Nutzung und somit ausreichendem Schutz der Daten nichts im Wege steht.

Dafür berufen sich die betroffenen Anbieter meist auf die sogenannte SCC (Standard Contractual Clauses/Standard-Vertrags-Klauseln). Die Verwendung von EU-Standardvertragsklauseln stellt eine Möglichtkeit dar, mit dem Urteil des EuGH umzugehen. Die Unterzeichner verpflichten sich den europäischen Datenschutzstandard an zuerkennen und einzuhalten. Sämtliche Mitgliedstaaten mussten anerkennen, dass handelnde Unternehmen, die diese Klauseln verwenden, einen ausreichenden Schutz der Daten sicherstellen. Auch Google hat in einer Mitteilung an die Nutzer auf die SCC verwiesen und angegeben den Datenfluss zwischen der EU und den USA zusätzlich zu verschlüsseln.

Aber ist dies nun wirklich das sicherste Werkzeug um ein neues Schutzschild zu erhalten? Es scheint zumindest fraglich.

Die Datenschutzkonferenz der Bundesländer äußerte bereits deutliche Kritik an den Klauseln und mahnte an, dass das alleinige Aufnehmen dieser keinen angemessenen Schutz für Daten darstelle. Auch hier liegt der Grund zur Sorge, wieder bei den US-Behörden. Ihre Zugriffsrechte auf Daten sind so weitreichend, dass mit Daten von EU-Bürgern Missbrauch betrieben werden kann.

Wie geht es weiter?

Anzeige

Für viele Unternehmen stellt sich seitdem die Frage: Was bedeutet das für uns? Wie verhalten wir uns richtig und vor allem rechtskonform?

Eine Art Absicherung könnte für ein KMU beispielsweise darstellen, die interne sowie externe Nutzung von Daten genauestens zu dokumentieren und diese Nachweise aufzubewahren. Dies gilt für die komplette “Reise” der Daten. Dementsprechend hoch ist die Menge an anfallendem Aufwand. Schon dieser, vorsichtig formuliert, einfachste aller Vorsorgeschritte, stellt viele Unternehmen vor eine nicht lösbare Aufgabe.

Viele Firmen verfügen nicht über die benötigten Kapazitäten. Unternehmen die unsicher sind, wie ihr weiteres Vorgehen aussehen soll, ist sehr damit geholfen externe Unterstützung zu organisieren. In diesem speziellen Fall können z.B. Digitalberatungsfirmen oder Datenschutzbeauftragte eine hilfreiche Unterstützung für die rechtliche Absicherung des Unternehmens sein. Zudem können im Verlauf einer solchen Zusammenarbeit eventuell noch andere “Baustellen” entdeckt und bearbeitet werden.

Fazit

Es kann nur abgewartet werden, wie sich die Rechtslage rund um das Thema Datensicherheit weltweit weiter entwickeln wird.  

In den USA werden wir zum Beispiel bald beobachten können, wie die Pokerpartie um die Video-App TikTok ausgehen wird. US-Präsident Donald Trump wirft dem chinesischen Unternehmen ausgerechnet Spionage durch die chinesische Regierung vor und drohte mit einem Verbot. In dem dadurch entstandenen Wettbewerb wurde das gemeinsame Kaufangebot von Microsoft und Walmart jüngst abgelehnt. Nun scheint es als bekäme der Soft -und Hardwarekonzern Oracle den Zuschlag für eine Teilübernahme und würde damit wahrscheinlich die Verantwortung über die Daten der US-Nutzer übernehmen.

Ebenso spannend wird es zu beobachten, ob es europäischen Unternehmen gelingt, eigene Clouds zu erstellen, damit irgendwann alle Daten Von EU-Bürgern auch in der EU verbleiben. Aber zu versuchen gegen z.B. Amazon und Google anzukommen ist genau das. Ein Versuch gegen die Big Player anzukommen. Und damit alles andere als einfach umzusetzen.

Du hast beim Lesen festgestellt, dass es auch in deinem Unternehmen Probleme/Fragestellungen gibt, die neuen Regeln umzusetzen?

Kontaktiere uns gerne, um weitere Informationen zu erhalten oder ein unverbindliches Gespräch über dieses Thema zu führen.