Der Europäische Gerichtshof (EuGH) hat das Privacy-Shield-Abkommen für ungültig erklärt. Den RichterInnen zufolge seien Informationen über europäische VerbraucherInnen auf US-Servern nicht vor dem Zugriff dortiger Behörden und Geheimdienste geschützt. Ein weitreichendes Urteil: Amerikanische IT-Konzerne wie Facebook und Google, aber auch zahlreiche Tracking- und NewsletteranbieterInnen sind davon betroffen.
Was ist das Privacy-Shield-Abkommen?
Das Datenschutzschild Privacy Shield ist eine informelle Absprache, die von 2015 bis 2016 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurde. Ursprünglich sollte das Abkommen Datentransfers zwischen den USA und Europa rechtlich ermöglichen.
Der Hintergrund des Rechtsstreits
Der österreichische Jurist und Datenschutzaktivist Max Schrems hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland Ltd. seine Daten an den Mutterkonzern in den USA weiterleitet. Facebook sei in den USA dazu verpflichtet, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen – dagegen vorgehen könnten die Betroffenen nicht, so seine Begründung.
GeschäftspartnerInnen in der EU war es bisher erlaubt, personenbezogene Daten wie etwa ArbeitnehmerInnendaten oder VerbraucherInnendaten an Unternehmen in den USA zu übermitteln. Der Europäische Gerichtshof hat nun den so genannten Angemessenheitsbeschluss für den EU-US Privacy Shield gekippt.
Bei der Übertragung von Daten europäischer VerbraucherInnen in ein Drittland muss ein Schutzniveau gewahrt werden, das dem der DSGVO entspricht.
Die US-Gesetzgebung kann ein solches Schutzniveau nicht gewährleisten, da die Standardvertragsklauseln und das EU-US-Datenschutzabkommen Privacy Shield mit dem europäischen Datenschutzniveau nicht vereinbar sind. Das Datenschutzschild Privacy Shield ist damit ungültig.
EXTRA: Ein Jahr DSGVO: Welche Folgen hatten die Regelungen?
Welche Unternehmen sind davon betroffen?
Die ganze Reichweite des Urteils ist bislang noch nicht absehbar und wird sich erst in den nächsten Wochen und Monaten zeigen. Folgende Dienste, Unternehmen und Plattformen sind davon am stärksten betroffen:
- Internationale Cloud-Dienste
- Social-Media-Plattformen, bei denen grenzüberschreitender Datentransfer Teil des Geschäftsmodells ist (personenbezogene Daten)
- Firmen, die Newslettersysteme oder CRM-Systeme von US-AnbieterInnen nutzen
- Firmen, die personenbezogene Daten durch Unternehmen in den USA oder anderen Drittstaaten verarbeiten lassen
Das Urteil des EuGH bedeutet jedoch nicht, dass grundsätzlich keine europäischen Daten mehr in den USA verbreitet werden dürfen. Die reine Geschäftskorrespondenz zwischen Unternehmen und US-KundInnen oder US-PartnerInnen ist somit davon nicht betroffen.
Bedeutung für UnternehmerInnen in der Praxis
Der Verwaltungsaufwand steigt: Unternehmen müssen nun prüfen, ob und welche US-Dienste weiter datenschutzkonform genutzt werden können und auch gegebenenfalls mit ihren VertragspartnerInnen verhandeln. Schließlich müssen die Standardvertragsklauseln der jeweiligen DiensteanbieterInnen in einem Drittland den gesetzlichen Vorschriften entsprechen. Es gilt nun, gleichwertige Dienste innerhalb der EU zu suchen. Gelingt dies nicht, sind Wettbewerbsnachteile für den deutschen Mittelstand daher nicht unwahrscheinlich.
Was können Unternehmen jetzt konkret tun?
Nationale Aufsichtsbehörden werden zunächst das EuGH-Urteil auswerten und darauf aufbauend Empfehlungen veröffentlichen. Schon jetzt ist klar: Es wird keine „Gnadenfrist“ geben. Unternehmen, die also auf den transatlantischen Datenschutzschild setzten, müssen ihre Transferpraktiken unverzüglich einstellen, so die EU-Datenschutzbeauftragten. Andernfalls drohen saftige Sanktionen. Nutze also die nächsten Tage und Wochen sinnvoll und überprüfe folgende Dinge:
- Ist in deiner Datenschutzerklärung die Datenübertragung bei bestimmten Unternehmen auf das Privacy-Shield-Abkommen gestützt?
- Werden deine AnbieterInnen eine Regelung für KundInnen aus der EU treffen? Tipp: Frag bei deinen AnbieterInnen nach, welche Lösungen der Konzern treffen wird (Einwilligung, Eu-Standard-Vertragsklausel, Datenspeicherung ausschließlich auf EU-Servern)
Darüber hinaus ist es sinnvoll, eine Liste mit SoftwareanbieterInnen und DienstleisterInnen aus den USA zu erstellen, die du nutzt. Außerdem solltest du analysieren, ob personenbezogene Daten der NutzerInnen an diese Konzerne übermittelt werden. Denke auch daran, die Formulierungen in deiner Datenschutzerklärung anzupassen.
es bleibt spannend, ob europäische Unternehmen Lösungen bieten können. Bis Dato seh ich da wenig attraktive Lösungen am Markt. Aber alles kein Grund zur Panik die Giganten aus den Staaten werden uns schon bald DSGVO konforme Cloud Lösungen anbieten, man lässt sich ja nicht kampflos aus einem Markt verdrängen.