Der europäische Gerichtshof (EuGH) hat das transatlantische Datenschutzabkommen EU-US Privacy Shield für ungültig erklärt. Personenbezogene Daten europäischer Nutzer seien auf Servern in den USA nicht hinreichend vor dem Zugriff von US-Geheimdiensten und Behörden geschützt, so die Begründung. Was bedeutet das, welche Regelungen gelten künftig und welche Maßnahmen müssen Unternehmen ergreifen, um ihren Datenverkehr auf eine sichere, datenschutzkonforme Basis zu stellen? Eine Zusammenfassung.

Privacy Shield: Urteil des EuGH verunsichert Unternehmen

Das Urteil war von vielen Unternehmen mit Spannung erwartet worden: Am 16. Juli 2020 kippte der EuGH per Gerichtsbeschluss den sogenannten EU-US Privacy Shield (Pressemitteilung). Zum Hintergrund: Die europäische Datenschutz-Grundverordnung (DSGVO) soll den Missbrauch von Daten soweit wie möglich einschränken. Andere Länder haben jedoch deutlich liberalere Regelungen. Um den länderübergreifenden Datentransfer zu legitimieren, hat der Europäische Datenschutzausschuss das Datenschutzniveau für Drittländer überprüft. Im Fall der USA wurde im Jahr 2016 der sogenannte EU-US Privacy Shield geschaffen.

Mit dem Urteil des Europäischen Gerichtshofs fällt nun in vielen Unternehmen die rechtliche Grundlage für den transatlantischen Transfer personenbezogener Daten weg. Das bedeutet: Bei Datenübertragungen in die USA bewegen sich die Firmen nun zunächst einmal in einer rechtlichen Grauzone. Eine schwierige Situation, wenn man bedenkt, dass häufig Cloud-Dienste wie MS Azure, Amazon Web Services (AWS) oder US-Software mit Telemetrie-Funktionen wie MS Office 365 eingesetzt werden. Auch SaaS (Software as a Service) – Produkte wie das Videokonferenz-Tool Zoom, die Nutzung von Social-Media-PlugIns, der Einsatz von Tracking-Diensten (Google Analytics) oder das Ablegen von Daten auf Cloudspeichern wie One Drive sind damit kritisch geworden. Vor allem, weil das EuGH-Urteil keine Übergangsfrist zur Umsetzung vorsieht. Für alle Unternehmen, die personenbezogene Daten mit den USA austauschen, gibt es damit akuten Handlungsbedarf. Transatlantischer Datenverkehr kann praktisch nur noch auf Basis der sogenannten Standardvertragsklauseln (SCC) erfolgen, die allerdings ebenfalls nicht als vollständig rechtssicher gelten. Welche Auswege gibt es aus diesem Dilemma?

Rechtsgrundlagen für den Datentransfer in Drittländer

Laut der seit Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) dürfen personenbezogene Daten nur in Länder außerhalb der Europäischen Union – die sogenannte Drittländer – übermittelt werden, wenn dort ein vergleichbares, „angemessenes“ Datenschutzniveau herrscht (vgl. Artikel 4449 DSGVO). Hier müssen laut DSGVO zusätzliche Garantien vorliegen, um das europäische Datenschutzniveau zu gewährleisten. Die Rechtslage im Überblick:

  • Datenübermittlung aufgrund eines Angemessenheitsbeschlusses (Art. 45 DSGVO): Laut EU-Kommission herrscht in den folgenden Drittländern ein angemessenes Datenschutzniveau: Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay (nicht in den USA).
  • Privacy-Shield-Beschluss der EU-Kommission: Für die USA wurde bislang ein angemessenes Datenschutzniveau attestiert, sofern US-Unternehmen sich dazu verpflichteten, das EU-Recht auf Grundlage des EU-US Privacy Shields einzuhalten (eine entsprechende Liste mit 5378 eingetragenen Unternehmen findet sich auf der Webseite des US-Handelsministeriums). Den Privacy Shield hat der EuGH nun jedoch für unwirksam erklärt.
  • Die Standarddatenschutzklauseln (vormals Standardvertragsklauseln):Hierbei handelt es sich um von der EU-Kommission vorformulierte Vertragsklauseln. Der Datenimporteur im Drittland muss danach die Einhaltung des Datenschutzniveaus der EU (bzw. der DSGVO) sicherstellen.
  • Binding Corporate Rules (BCR): Die sogenannten Binding Corporate Rules sind Regelungen zum Umgang mit personenbezogenen Daten, die das jeweilige Unternehmen selbst aufstellt und die abschließend ein Genehmigungsverfahren durchlaufen. Diese Alternative ist allerdings mit Mehraufwand und Mehrkosten für Unternehmen verbunden und kam bislang nicht übermäßig häufig zur Anwendung.
  • Einwilligungen: Bliebe quasi als „letzter Ausweg“ noch die Möglichkeit, die Einwilligungen der Betroffenen einzuholen. Diese Alternative scheint allerdings aus verschiedenen Gründen wenig praktikabel. Einwilligungen können jederzeit widerrufen werden, müssen freiwillig erfolgen und entsprechend dokumentiert werden.
  • Ausnahmen für bestimmte Fälle: Ausnahmeregelungen (Art. 49 DSGVO) gibt es nur, wenn ganz bestimmte und streng geregelte Voraussetzungen erfüllt sind.

Was können Unternehmen jetzt tun?

Jeglicher Datentransfer, der sich bislang allein auf die Grundlage des Privacy Shield stützte, gilt mit dem EuGH-Urteil als unzulässig, soweit nicht weitere bzw. zusätzliche Rechtsgrundlagen aus den Artikeln 44 – 49 der DSGVO greifen. Bei Verstößen können die Datenschutz-Aufsichtsbehörden diverse Sanktionen verhängen – von Übermittlungsverboten bis hin zu Bußgeldern.

Das heißt allerdings nicht, dass nun der gesamte Datentransfer zwischen der EU und den USA zum Erliegen kommt. Standardvertragsklauseln können weiterhin eine mögliche Rechtsgrundlage für Datenübermittlungen in die USA bleiben. Allerdings nicht uneingeschränkt und ggf. mit „Änderungen“. Bei der Verarbeitung personenbezogener Daten in Drittländern muss das im Rahmen der DSGVO verankerte Datenschutzniveau zu Grunde gelegt werden. Ob dies – am Beispiel der USA – im Rahmen der US-Gesetzgebung überhaupt möglich ist, bleibt abzuwarten. Eine weitere Option wäre die Erstellung und Genehmigung von Binding Corporate Rules. Oder die Unternehmen müssten die Betroffenen vor jeder Übermittlung ihrer Daten in die USA einwilligen lassen. Sie sind in jedem Fall gut beraten, zeitnah eine Bestandsaufnahme der genutzten US-Anbieter vorzunehmen und diese zu „klassifizieren“.

Checkliste: Datenübertragung in Drittländer

Der Europäische Datenschutzausschuss (EDSA) hat eine Checkliste zu den häufigsten Fragen in Sachen Datenübermittlung in Drittländer zusammengestellt. Hier die wichtigsten Aussagen:

  • Unternehmen sollten alle Datenübermittlungsvorgänge in Drittländer dokumentieren, prüfen und die Rechtsgrundlage ermitteln.
  • Alle Datenempfänger in Drittländern, vor allem mit Sitz in den USA, müssen vor weiterem Datentransfer auf geeignete Garantien (Artt. 44-49 DSGVO) überprüft werden.
  • Für Datenübermittlungen, die bislang auf Basis des Privacy Shield erfolgten, sollte geklärt werden, ob künftig Standarddatenschutzklauseln, Binding Corporate Rules o.ä. als Rechtsgrundlage genutzt werden können, oder ob ein Ausnahmetatbestand nach Art. 49 DSGVO infrage kommt.
  • Sollte die Datenübermittlung auf Basis von Standarddatenschutzklauseln oder von Binding Corporate Rules erfolgen, müssen die Unternehmen sicherstellen, dass durch diese Instrumente ein dem EU-Datenschutzrecht adäquates Schutzniveau hergestellt wird.
  • Sollte dieses nicht der Fall sein, wäre in einem weiteren Schritt zu überprüfen, ob ein angemessener Datenschutz ggf. durch ergänzende Maßnahmen wie beispielsweise Verschlüsselung oder Vertragsergänzungen ermöglicht werden kann.
  • Ist ein angemessenes Schutzniveau nicht zu erreichen, muss geprüft werden, ob „Ausnahmen für bestimmte Fälle“ (nach Art. 49 DSGVO) zur Anwendung kommen können. Sollte auch dies nicht möglich sein, ist der Datentransfer auszusetzen.
  • Wird die Datenübermittlung ohne angemessenes Schutzniveau im Drittland fortgesetzt, muss der für den Transfer Verantwortliche die zuständige Aufsichtsbehörde darüber informieren.

Die gesamten Empfehlungen des EDSA finden Sie auf der entsprechenden FAQ-Seite. Ferner hat der europäische Datenschutzausschuss neue Leitlinien zu Standarddatenschutzklauseln heraus gegeben, u. a. auch die derzeitige Situation bzgl. einer Gemeinsamen Verantwortlichkeit (Joint Controllership) näher beleuchten.

Fazit und Ausblick

Eine Orientierungshilfe zum Internationalen Datentransfer hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) herausgegeben. Sie richtet sich an öffentliche Stellen und Unternehmen, die vor dem Aus des Privacy Shield personenbezogene Daten an US-Unternehmen übermittelt haben. Der Leitfaden enthält weitere Informationen zu Rechtsgrundlagen von Datentransfers, vor allem in die USA, sowie eine Checkliste mit konkreten Maßnahmen.

Don’t panic!

Häufig wird Unternehmen in der jetzigen Situation die Devise ans Herz gelegt: Don’t panic! Dennoch sollten Sie zügig reagieren und erste Schritte einleiten. Hilfestellung erhalten Sie dabei von den Expertinnen und Experten von TÜV Rheinland. Bei Bedarf unterstützen wir Sie unter anderem bei der Analyse Ihrer Drittlandtransfers und der datenschutzkonformen Zusammenarbeit mit externen Dienstleistern.

Autorin des Beitrags

Dr. Stefanie Schneider

Dr. Stefanie Schneider

Security Consultant

Stefanie Schneider ist als Security Consultant (Fachgebiet Datenschutz) im Bereich „Mastering Risk and Compliance“ der TÜV Rheinland i-sec GmbH tätig. In Ihrer Funktion als externe Datenschutzbeauftragte (eDSB) berät sie verschiedene Unternehmen aus Produktion und Dienstleistung. Stefanie Schneider ist zertifizierte betriebliche Datenschutzbeauftragte (GDDcert EU), PC-Netzfachfrau und zertifizierte MCSE, MCPI und CNA.

Meist gelesene Beiträge

Ladeinfrastruktur

Elektromobilität – Ladeinfrastruktur auf dem Vormarsch

Das neue Jahrzehnt steht ganz im Zeichen des Klimaschutzes – und zu den großen Herausforderungen zählt eine klimaschonende (Elektro-)Mobilität. Eine wichtige Etappe ist das neue Emissionsziel der EU.
Stellenanzeigen

Sexy Titel, keine Bewerber? Stellenanzeigen auf dem Prüfstand

War for Talents, Fachkräftemangel, demografischer Wandel – alles bekannte und beliebte Themen im Buzzword-Bingo unter Personalfachleuten. Der Arbeitsmarkt wird für Unternehmen schwieriger.
Digitale Trends

Digitale Trends 2020: Denkanstöße für mehr Sicherheit

Cybersecurity Trends 2020: Was bedroht unsere digitale Gesellschaft – und wie können wir uns davor schützen? TÜV Rheinland benennt sieben Trends zu aktuellen Cyberbedrohungen.

Kommentare

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Newsletter

Niemand mag Pop Ups. Aber Sie werden unseren Newsletter mögen

Erhalten Sie regelmäßig Blogartikel zu den Themen Digitalisierung, Modernes Leben, Energie und Technik.