Hintergrund zum Ende des Privacy Shields war eine Klage des österreichischen Juristen und Datenschutzaktivisten Maximilian Schrems. Dieser hat die für Facebook in der EU zuständige irische Aufsichtsbehörde verklagt, da seiner Meinung nach der Privacy Shield personenbezogene Daten europäischer Bürger nicht angemessen schützt, wenn sie durch US-Unternehmen verarbeitet werden. Dieser Auffassung schloss sich der EuGH an – mit Auswirkungen für die gesamte EU.
Kurz gesagt: es gibt aktuell keine Vereinbarung zwischen der EU und den USA, welche ein angemessenes Datenschutzniveau in den USA bescheinigt. Ohne weitere Maßnahmen wäre daher der Datentransfer in die USA unverzüglich einzustellen! Nachdem sich der erste Rauch gelegt hat, schreiten nun die deutschen Aufsichtsbehörden zur Tat und ziehen erste Konsequenzen. Dabei stehen aktuell Hilfestellungen für betroffene europäische Unternehmen an erster Stelle, die unverzügliches Handeln anmahnen. Daher sollten Sie nun auch dringend aktiv werden! Folgende Schritte sind empfehlenswert:
Bestandsaufnahme – Welche Daten gehen in Drittländer?
Verschaffen Sie sich einen Überblick darüber, welche Daten tatsächlich aktuell bei Ihnen über welche Tools, Programme oder Dienstleister in den USA bzw. durch US-Unternehmen außerhalb der USA verarbeitet werden. Das heißt: Erfassen Sie z.B. unbedingt auch die von Ihnen genutzten US-Unternehmen, welche Cloud-Dienste und Ähnliches explizit in der EU anbieten!
Hintergrund hierfür ist der sogenannte CLOUD-Act, welcher US-Behörden Zugriff auf von US-Unternehmen verwaltete Daten auch dann erlaubt, wenn sie außerhalb der USA gespeichert werden.
Umstände der Datenübermittlung prüfen
Sind Art, Umfang, Zweck, Kontext und Empfänger der Datenübermittlung noch zutreffend? Kurz gesagt: brauchen Sie alle Daten wirklich und stimmt der ursprüngliche Zweck, zu dem Sie die Datenübermittlung durchgeführt haben, noch mit der Realität überein? Dürfen Sie alle Daten überhaupt noch verarbeiten? Hier haben Sie ein großes Potenzial zum Entschlacken: Reduzieren Sie die Datenübermittlung soweit wie möglich auf ein absolut notwendiges Maß.
Datenschutzerklärung anpassen
Prüfen Sie nach, ob Sie in Ihrer Datenschutzerklärung noch Ihrer Informationspflicht nach Art. 13 Abs. 1 f) DSGVO genügend nachkommen. Sollten Sie sich in Ihrer Datenschutzerklärung noch auf den Privacy Shield beziehen, so sollte dies nun umgehend geändert werden. Welcher neuer Transfermechanismus zur Anwendung kommt, hängt sehr stark und individuell vom Dienstleister ab, mit dem Sie zusammenarbeiten. Im schlechtesten Fall müssen Sie die Zusammenarbeit mit bestimmten Dienstleistern beenden, im besten Fall ändern Sie nur eine Textpassage.
US-Dienstleister in die Pflicht nehmen
Die DSGVO selbst stellt ganz klare Regeln auf, unter welchen Umständen eine Verarbeitung personenbezogener Daten von EU-Bürgern in einem Drittland wie den USA zulässig ist. Ideal wäre ein Angemessenheitsbeschluss seitens der EU-Kommission – aber dieser war für die USA der Privacy Shield, der ja nun nicht mehr gültig ist. Alternativ könnten Standardvertragsklauseln zum Tragen kommen. Dabei handelt es sich um ein “Set” von Klauseln, welche von der EU als Vertragsklauseln zum Datenschutz akzeptiert werden, sofern sich der Partner im Drittland dazu verpflichtet. Die Sache hat aber einen Haken: Wenn Behörden oder sonstige Stellen des Drittlandes in unverhältnismäßiger Art und Weise in die Rechte der betroffenen Personen eingreifen können (z.B. ein massenhafter Abruf von Daten ohne Information der Betroffenen und ohne verfahrensrechtliche Sicherungen wie einen Richtervorbehalt) oder es keinen wirksamen Rechtsschutz für die Betroffenen gibt, dann reichen die Standardvertragsklauseln alleine nicht mehr aus.
Standardklauseln reichen nach Ende des Privacy Shields nicht
Der EuGH hat nun eindeutig entschieden, dass diese Situation auf die USA zutrifft! Neben dem bereits erwähnten Cloud Act gibt es weitere staatliche Eingriffsmöglichkeiten innerhalb der USA, so dass Standardvertragsklauseln für US-Unternehmen nicht ausreichen. Ergänzend notwendig sind daher Garantien, welche von den betroffenen US-Unternehmen abgegeben werden müssen. Diese Garantien müssen Gewissheit darüber herstellen, dass unkontrollierte Zugriffe z.B. seitens US-Behörden nicht möglich sind, In der Praxis heißt dies: Gewährleistung von Ende-zu-Ende-Verschlüsselung, Daten-Anonymisierung etc.
Das sagen deutsche Aufsichtsbehörden zum Ende des Privacy Shields
Es gibt seitens deutscher Aufsichtsbehörden jedoch erhebliche Zweifel daran, dass selbst die Kombination aus Standardvertragsklauseln plus Garantien eine ausreichende Datensicherheit gewährleistet. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg z.B. sieht diese Kombination lediglich “…in einer eng begrenzten Zahl von Fallkonstellationen” als ausreichend und ist der Meinung: “…[Daher] stellt (dies) keine Lösung für die Mehrzahl der Datentransfers in die USA dar.”
Der LfDI fordert stattdessen eine Reihe von Verpflichtungen seitens des Datenimporteurs, also des US-Unternehmens, bezüglich
- Informationen über Anfragen oder erfolgte Zugriffe seitens Behörden,
- der Vermeidung der Datenweitergabe an Behörden durch Nutzung des Rechtsweges,
- der Möglichkeit des Betroffenen zur Einforderung von Schadenersatz im Falle der Datenweitergabe
- der verschuldensunabhängigen Freistellung des Betroffenen von möglichen Schäden, welche durch den Zugriff von staatlichen Stellen entstehen sowie
- der Aufnahme einer Entschädigungsklausel zu Lasten des US-Unternehmens unter bestimmten Bedingungen
Es stellt sich hierbei natürlich die Frage, ob und inwieweit sich die relevanten US-Unternehmen auf solche Bedingungen einlassen. Andererseits ist die Auffassung der Aufsichtsbehörden hier eindeutig: Vorrang hat der Schutz der personenbezogenen Daten der Betroffenen. Wenn US-Unternehmen diesen nicht gewährleisten, dann muss man sich nach Alternativen umsehen oder die Datenverarbeitung in der bisherigen Form einstellen.
Fazit: Sind US-Dienstleister nach dem Ende des Privacy Shields nun tabu?
Sieht man die Regeln und Vorgaben streng, so würde diese desaströse Aussage für eine Vielzahl von US-Unternehmen zutreffen. Es liegt nun an Ihnen, das Problem so klein wie möglich zu halten. Aktualisieren Sie die Verarbeitungsprozesse, überprüfen Sie alle Daten auf ihre Notwendigkeit und suche Sie clevere Alternativen. Wenn sich die betroffenen US-Unternehmen auf möglichst genaue Verpflichtungen einlassen, ist auch eine zukünftige Zusammenarbeit mit diesen Unternehmen selbstverständlich möglich. Eine Datenverschlüsselung sowohl auf dem Transportweg als auch auf den Servern des US-Unternehmens – wobei Sie die Hoheit über die Schlüssel haben – sollte aber ab sofort der Mindeststandard der Datenverarbeitung im Drittland USA sein.