„Schrems II“ bringt das Privacy Shield zu Fall – #whatsnext?

Das EU-US Privacy Shield wurde vom europäischen Gerichtshof im Juni 2020 für wirkungslos erklärt

Datenschutzaktivist Max Schrems hat es erneut geschafft. Nachdem bereits das Safe Harbor Abkommen durch seine Klage vor dem Europäischen Gerichtshof sein Ende fand (Schrems I Urteil), wurde nun auch das Privacy Shield gekippt.

Trotz Nachbesserungen sei nicht ausreichend sichergestellt, dass die Daten von EU-Bürgern bei der Verarbeitung in den USA ausreichend geschützt sind. Vor allem die Sorge vor dem Zugriff von Behörden wie beispielsweise der NSA oder des FBI stand im Fokus der Untersuchungen.

Zwar mussten alle sich auf der Liste des Abkommens befindlichen Firmen verpflichten, sämtliche vereinbarte Rahmenbedingungen einzuhalten; der Akt der Eintragung auf diese Liste war allerdings freiwillig. Die Transparenz war somit äußerst fraglich. Die Richter am EuGH konnten sich auch nicht mit dem Einsatz einer Ombudsperson dafür bereit erklären, einen hinreichenden Schutz der Daten von EU-Bürgern zu gewährleisten. Die nötige Unabhängigkeit wurde angezweifelt.

In vielen Fällen ist jetzt die Übergabe von persönlichen Daten von Europa in die USA verboten. Eine Verletzung durch eine europäische Firma kann, wie viele andere Datenschutzverstöße auch, schwerwiegende Folgen haben. Die möglicherweise zu erwartenden Strafen können, wie vielen bekannt ist, zweistellige Millionenbeträge sein oder bis zu 4% des konzernweiten Jahresumsatzes, je nach dem was höher ausfällt.

Der Schutz ist weg – wie geht es weiter?

Dass diese Entscheidung für die digitalen Platzhirsche, wie zum Beispiel Facebook (384 Mio. Nutzer in Europa) den absoluten Supergau darstellt, muss an dieser Stelle nicht extra erwähnt werden. Aber auch KMU stehen vor neuen Herausforderungen und Aufgaben, die es nun zu erkennen und dann zu meistern gilt.

Beispiel: Newsletter versenden noch erlaubt?

Anzeige

Ein besonderes Feld stellt nun auch der Versand von Newslettern dar. Das Fundament sind die Daten, die ab sofort anderen Schutz erfordern. Es stellt sich daher die Frage: Darf man künftig noch Newsletter verschicken?

Eine allgemeine Antwort lässt sich auf diese Frage leider nicht geben. Es hängt vor allem davon ab, in welchem Land der Newsletter-Anbieter seinen Sitz hat. Ist er in Europa beheimatet und werden auch alle personenbezogenen Daten in einem europäischen Mitgliedsstaat gespeichert, kann der Versand weiterhin erfolgen, denn diese Anbieter sind vom Privacy Shield nicht betroffen.

Ebenso problematisch gestaltet sich das Schalten von Online-Anzeigen über Anbieter wie zum Beispiel GoogleAds. Bei Anbietern, die ihren Sitz in einem Drittland haben, sieht das anders aus. Die Privacy-Shield Zertifizierung wird von vielen Anbietern aus den USA eingesetzt, um einen ausreichenden Schutz der Daten zu gewähren. Doch seit der Entscheidung des EuGH sind diese wertlos. Solche Unternehmen versuchen nun emsig ihre Nutzer durch Statements zu beruhigen und versichern ihnen, dass einer weiteren Nutzung und somit ausreichendem Schutz der Daten nichts im Wege steht.

Dafür berufen sich die betroffenen Anbieter meist auf die sogenannte SCC (Standard Contractual Clauses/Standard-Vertrags-Klauseln). Durch die EU-Standardvertragsklauseln kann gut mit dem Urteil des EuGH umgegangen werden. Diejenigen, die diese unterschreiben, verpflichten sich gleichzeitig den europäischen Datenschutzstandard anzunehmen und zu befolgen. Firmen, die diese Klauseln einsetzen, sind verpflichtet, die Daten abzusichern und das mussten viele Mitgliedstaaten akzeptieren. Auch Google hat in einer Mitteilung an die Nutzer auf die SCC verwiesen und angegeben, den Datenfluss zwischen der EU und den USA zusätzlich zu verschlüsseln.

Aber ist dies nun wirklich das sicherste Werkzeug, um ein neues Schutzschild zu erhalten? Es scheint zumindest fraglich.

Die Datenschutzkonferenz der Bundesländer äußerte bereits deutliche Kritik an den Klauseln und mahnte an, dass das alleinige Aufnehmen dieser keinen angemessenen Schutz für Daten darstelle. Auch hier liegt der Grund zur Sorge wieder bei den US-Behörden. Ihre Zugriffsrechte auf Daten sind so weitreichend, dass mit Daten von EU-Bürgern Missbrauch betrieben werden kann.

Wie geht es weiter?

Anzeige

Für viele Unternehmen stellt sich seitdem die Frage: Was bedeutet das für uns? Wie verhalten wir uns richtig und vor allem rechtskonform?

Eine Art Absicherung könnte für ein KMU beispielsweise darstellen, die interne sowie externe Nutzung von Daten genauestens zu dokumentieren und diese Nachweise aufzubewahren. Dies gilt für die komplette “Reise” der Daten. Dementsprechend hoch ist die Menge an anfallendem Aufwand. Schon dieser, vorsichtig formuliert, einfachste aller Vorsorgeschritte, stellt viele Unternehmen vor eine nicht lösbare Aufgabe.

Viele Firmen verfügen nicht über die benötigten Kapazitäten. Unternehmen, die unsicher sind, wie ihr weiteres Vorgehen aussehen soll, ist sehr damit geholfen, externe Unterstützung zu organisieren. In diesem speziellen Fall können z.B. Digitalberatungsfirmen oder Datenschutzbeauftragte eine hilfreiche Unterstützung für die rechtliche Absicherung des Unternehmens sein. Zudem können im Verlauf einer solchen Zusammenarbeit eventuell noch andere “Baustellen” entdeckt und bearbeitet werden.

Fazit

Es kann nur abgewartet werden, wie sich die Rechtslage rund um das Thema Datensicherheit weltweit weiter entwickeln wird.  

In den USA werden wir zum Beispiel bald beobachten können, wie die Pokerpartie um die Video-App TikTok ausgehen wird. US-Präsident Donald Trump wirft dem chinesischen Unternehmen ausgerechnet Spionage durch die chinesische Regierung vor und drohte mit einem Verbot. In dem dadurch entstandenen Wettbewerb wurde das gemeinsame Kaufangebot von Microsoft und Walmart jüngst abgelehnt. Nun scheint es, als bekäme der Soft- und Hardwarekonzern Oracle den Zuschlag für eine Teilübernahme und damit würde er wahrscheinlich die Verantwortung über die Daten der US-Nutzer übernehmen.

Ebenso spannend wird es zu beobachten, ob es europäischen Unternehmen gelingt, eigene Clouds zu erstellen, damit irgendwann alle Daten von EU-Bürgern auch in der EU verbleiben. Aber zu versuchen, gegen z.B. Amazon und Google anzukommen, ist genau das. Ein Versuch gegen die Big Player anzukommen. Und das ist alles andere als einfach umzusetzen.

Du hast beim Lesen festgestellt, dass es auch in deinem Unternehmen Probleme/Fragestellungen gibt, die neuen Regeln umzusetzen?

Kontaktiere uns gerne, um weitere Informationen zu erhalten oder ein unverbindliches Gespräch über dieses Thema zu führen.