TechTalk

EU-US Privacy Shield gekippt – was nun?

TechTalk

EU-US Privacy Shield gekippt – was nun?

Das Privacy Shield ist ein Angemessenheitsbeschluss aus dem Gebiet des Datenschutzrechts. Es stellte eine Rechtsgrundlage dar, die es EU-Unternehmen ermöglichte, Datenverarbeitungen und Datenübermittlungen in die Vereinigten Staaten vorzunehmen.

Was ist das Privacy Shield?

Das Privacy Shield Abkommen wurde erstellt, um die Übermittlung personenbezogener Daten von Europa in die USA zu regeln. Das Privacy Shield ist ein Angemessenheitsbeschluss, der aussagt, dass die Europäer davon ausgehen, dass ein angemessenes Datenschutzniveau besteht. Es ermöglichte unter Einhaltung gewisser Regelungen die Datenübermittlung in die USA. Amerikanische Unternehmen mussten sich verpflichten, eine Privacy-Shield-Zertifizierung im Unternehmen zu implementieren. Diese Zertifizierung ermöglichte es Unternehmen nachzuweisen, dass Sie sich an verpflichtete Regelungen halten.

Zu nennen sind hier folgende Grundlagen:

  • Recht auf Information
  • Recht auf Widerspruch gegen eine Datenverarbeitung
  • Recht auf Auskunft
  • Recht auf Berichtigung unrichtiger Daten
  • Recht auf Löschung
  • etc.

Die Privacy-Shield-Zertifizierung wurde von ca. 100 amerikanischen Unternehmen genutzt. Im folgenden Link können die Unternehmen eingesehen werden, die sich mit dem Privacy Shield zertifiziert hatten: https://www.privacyshield.gov/list

Was ist genau passiert?

Am 16. Juli 2020 wurde das Privacy Shield Datenschutzabkommen zwischen der Europäischen Union und den United States of America (USA) für ungültig erklärt. Im Fall „Schrems II“ hat der Europäische Gerichtshof (EuGH) das EU-U.S. Privacy Shield Abkommen für unwirksam erklärt. Das Urteil resultiert aus einem jahrelangen Rechtsstreit zwischen Datenschutzaktivist Maximilian Schrems (österreichischer Jurist) und Facebook. Maximilian Schrems hat sich vor Jahren an die irische Datenschutzbehörde gewandt, um dieses Anliegen für die Zukunft umzusetzen. Bereits der Vorgänger des Privacy Shield Abkommens, der Safe Harbour Angemessenheitsbeschluss, wurde nach einer Klage von Maximilian Schrems im Jahr 2015 für unwirksam erklärt. Erst daraufhin wurde das Privacy Shield Abkommen im Schnelldurchlauf konzipiert, welches bis zum 16. Juli 2020 schlussendlich auch genutzt wurde.

Schrems:

Ich reichte eine kurze Beschwerde ein, und plötzlich wurde ich zum Beklagten in einem äußerst komplizierten Verfahren, das zu einem großen Teil nicht notwendig war. Unsere Argumente haben sich letztlich auf europäischer Ebene durchgesetzt. Jetzt muss Facebook die Rechnung für diesen Fall übernehmen.

https://noyb.eu/de/irisische-behoerde-muss-kosten-fuer-eugh-fall-zu-eu-us-datentransfers-zahlen

Probleme bei der Privacy-Shield-Zertifizierung?

Mittels des Privacy Shield sollten sich amerikanische Unternehmen an das Datenschutzniveau von Europa annähern bzw. anpassen. Problematisch allerdings war, dass sich die amerikanischen Unternehmen im Zuge einer Selbstzertifizierung dem Privacy Shield Abkommen unterziehen konnten. Es bedarf keiner Prüfungsinstanz, wie beispielsweise einer gesonderten Datenschutzbehörde. Die Unternehmen konnten somit angeben, sich einem gewährleisteten Datenschutzniveau anzupassen und dies zu dokumentieren, um im Anschluss die Privacy-Shield-Zertifizierung zu erhalten. Zu den größten Problemen gehörte der Foreign Intelligence Surveillance Acts (FISA 702), der Datenzugriffe bei elektronischen Kommunikationsdiensten erlaubt. Dies hat zur Folge, dass Homeland, FBI und die NSA ohne einen gerichtlichen Beschluss auf Daten von Nicht-US-Bürgern zugreifen dürfen. Dies ist laut EuGH ein Verstoß gegen den Datenschutz.

Welche Auswirkungen hat die Unwirksamkeit des Privacy Shields?

Europäische Unternehmen dürfen sich nicht mehr auf die Grundlage des Privacy Shield Abkommens stützen. Dies hat massive Folgen für Datenflüsse zwischen der Europäischen Union und den Vereinigten Staaten. Unternehmen, die in der europäischen Union ansässig sind und Daten in die Vereinigten Staaten übermitteln oder Dienste von amerikanischen Unternehmen beziehen, sind direkt von der Entscheidung des EuGHs betroffen. Fakt ist: Es gibt kaum ein Unternehmen mehr, das keine Daten in Richtung Amerika übermittelt. Die USA ist nun gezwungen, sich der Frage zu unterziehen, ob sie sich den europäischen Datenschutzstandards annähern bzw. angleichen will, um in Zukunft einen erneuten Datenverkehr zu ermöglichen. Verträge müssen erneut erarbeitet oder überarbeitet werden. Zu den bisher bestehenden Unternehmensanwendungen müssen alternative Anwendungen gefunden werden, die datenschutzkonform genutzt werden können.

Schrems:

Der Gerichtshof hat ausdrücklich betont, dass durch die Aufhebung des Privacy Shield kein „Rechtsvakuum“ entsteht, da unbedingt „notwendige“ Datenübermittlungen weiterhin stattfinden können. Die USA werden nun einfach in ein den Status eines Landes ohne besonderen Zugang zu EU-Daten zurückversetzt.

https://noyb.eu/de/node/189

Welche Alternativen zum Privacy Shield bestehen noch?

Derzeit bestehen verschiedene Möglichkeiten, die sich im Unternehmensalltag etablieren könnten und nicht direkt mit einer kompletten Stilllegung aller Systeme verbunden sind. Denn für Unternehmen ist es im Regelfall keine Option, die Dienste stillzulegen.

Möglichkeit 1:
Standardvertragsklauseln erstellen

Möglichkeit 2:
Binding Corporate Rules (BCR) erstellen

Möglichkeit 3:
Alles auszusetzen, abschalten und abwarten, was im Zuge der nächsten EuGH-Rechtsprechung herauskommt.

Anzumerken gilt:

Das ungültige Privacy Shield hat nicht nur Auswirkungen auf die Beziehungen und Datenflüsse zwischen Unternehmen. Auch Privatpersonen nutzen Dienste, die von US-Unternehmen stammen (Facebook, WhatsApp, Google, Twitter, etc.) und somit Daten in die USA übertragen werden. Auch hier ist ein Umdenken unbedingt notwendig. Lösungen wie GaiaX, eine europäische Cloud, sind angedacht. Was in Zukunft passiert, kann aktuell nur spekuliert werden. Für den Moment ist es daher wichtig, sich in einem Unternehmen genau damit vertraut zu machen, welche Daten einer Überprüfung unterzogen werden müssen. Zudem sollte man so schnell wie möglich die Standardvertragsklauseln für die genutzte Software schließen, um zukünftigen Bußgeldern unbedingt zu entkommen.

„Schrems betont, es brauche eine permanente und echte Lösung zum Schutz europäischer Daten, kein neues Feigenblatt.“

https://netzpolitik.org/2020/facebook-schickt-weiter-daten-in-die-usa/

Im Folgenden könnt ihr euch gerne detailliert in das Urteil des Europäischen Gerichtshof einlesen:

Der Ersteller dieses Beitrages übernimmt keine Haftung für die Richtigkeit oder Vollständigkeit der getroffenen Aussagen.