Das Ende von Privacy Shield - Wie ist der Status und was bedeuten die Konsequenzen für Firmen und Internetnutzer?
von Svenja Koch
Im Juli 2020 hat der EuGH die Datenschutzvereinbarung zwischen der EU und den USA, „Privacy Shield“ genannt, mit sofortiger Wirkung für ungültig erklärt. Die Begründung: Bürger und Unternehmen in der EU sind nicht ausreichend gegen Datenzugriffe US-amerikanischer Behörden geschützt.
Der Standard für den Umgang mit europäischen, personenbezogenen Daten in den USA ist somit Vergangenheit. Das bedeutet zwar nicht das grundsätzliche Ende jedwede Datenübermittlung von Europa in die USA – Unternehmen können auch weiterhin Nutzerdaten von Einwohnern der EU gemäß Standardvertragsklauseln in die USA übertragen. Allerdings, so betonten die Luxemburger Richter des EuGH, sind Datenschutzbehörden verpflichtet, die Übermittlung von Daten zu verbieten, sobald die Standardvertragsklauseln im Empfängerland nicht eingehalten werden. Was das alles für Unternehmen bedeutet und ob auch private Internetnutzer Konsequenzen zu befürchten haben, erfahren Sie in diesem Beitrag.
Privacy Shield – So sollte der Daten-Schutzschild EU-Bürger schützen
Das Internet hat jeden von uns zum Weltbürger gemacht. Ein paar Klicks, ein E-Mail-Konto bei Google oder eine Anmeldung bei Facebook reichen aus, um private Nutzerdaten in der der ganzen Welt zu verteilen. Viele der Daten landen dabei, wie könnte es anders sein, bei den großen Tech-Unternehmen in den USA. Das Privacy Shield Abkommen sollte hier regeln, wie die persönlichen Daten von EU-bürgern in den USA verarbeitet werden dürfen. Unter anderem wollte das Schutzschild sicherstellen:
- Die persönlichen Daten sollten vor Massenüberwachungen der US-Behörden sicher sein
- Eine Ombudsperson im US-Außenministerium sollte direkter Ansprechpartner für EU-Bürger bei Beschwerden sein
- Personenbezogene Daten sollten gemäß Abkommen nicht auf unbestimmte Zeit von einem Unternehmen gespeichert werden dürfen.
Kritiker hielten Privacy Shield von Anfang an für untauglich
Während offizielle Stellen fest daran glaubten, dass die USA die Sorgen der Europäer in Sachen Datenschutz und sicherer Datenübermittlung ernst nehmen, sahen Kritiker des Schutzschildes die Sache komplett anders. Zu den bekanntesten Kritikern gehört der Österreicher Max Schrems, der überzeugt davon ist, dass Daten von EU-Bürgern in den USA nicht ausreichend vor dem Zugriff der US-Geheimdienste sicher sind. Schrems hatte sich erfolgreich vor den EuGH geklagt und erreicht, dass 2015 die Vorgängerregelung von Privacy Shield namens „Safe Harbour“ gekippt wurde. Durch dieses bahnbrechende Urteil wurde erst die neue Privacy Shield Regelung notwendig. Doch auch die neue Regelung hält Max Schrems für untauglich, denn „die Überwachung in den USA ist genauso schlimm wie vorher, es hat sich für EU-Bürger nichts geändert. Und der EuGH hat gesagt, das geht so nicht“. Schrems rechnete fest damit, dass Privacy Shield gekippt wird, sobald es eine Klage gebe, die es vor den EuGH schafft. „Das Ding ist wahrscheinlich illegal“, so Schrems damals über den neuen Schutzschirm. Und er sollte Recht behalten.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Darum hat der EuGH den Schutzschirm gekippt
Mit dem Urteil in der Rechtssache „C-311/18 Schrems II“ hat sich der EuGH gegen das Privacy Shield ausgesprochen. Die Begründung der Richter: Personenbezogene Daten von EU-Bürgern dürfen nur dann an Drittländer außerhalb des Europäischen Wirtschaftsraumes übermittelt werden, wenn die Daten in dem Drittland einen Schutz genießen, der dem Schutzniveau in der EU im Wesentlichen entspricht. Und genau dieses angemessene Schutzniveau hat der EuGH für die USA verneint.
Unternehmen sollten sofort handeln – denn eine Schonfrist gibt es nicht!
Seit dem aufsehenerregenden Urteil sind Unternehmen im Zugzwang, denn die Aufsichtsbehörden geben keine Schonfrist. Vor allem die Unternehmen, die Cloud-Dienste in den USA nutzen, sind verpflichtet, im Sinne des Datenschutzrechts die Datenübermittlungen in Drittländer und die hierfür genutzte Grundlage nach Kapitel V der DSGVO zu überprüfen. Das bedeutet ganz konkret: Der Datentransfer, der sich bisher auf das Abkommen gestützt hatte, muss durch Schutzmaßnahmen nach Artikel 46 DSGVO abgesichert werden. Für die Datenübertragung in die USA sind zusätzliche Maßnahmen einzuführen, die einen angemessenen Schutz der Daten jederzeit sicherstellen. Für Unternehmen in Europa gibt es keinerlei Schonfrist – eine Überprüfung der Rechtsgrundlage für die Datenübermittlung ist unumgänglich.
Was müssen Unternehmen jetzt bei der Datenübertragung in die USA beachten?
Der Bundesdatenschutzbeauftrage hat in einem Prüfschema dargestellt, was in Sachen Datenschutz nun für europäische Unternehmen zu tun ist. Ein Blick in das Dokument lohnt sich unbedingt, denn aus dem Prüfschema in Kombination mit den Veröffentlichungen des EDSA (Europäischer Datenschutzausschuss) ergeben sich ganz konkret die Aufgaben für die betroffenen Unternehmen. Unter anderem wird verlangt:
- Prüfung der Rechtsgrundlage für die Datenübertragung
- Gegebenenfalls Bestimmung neuer Rechtsgrundlagen
- Datentransfer einstellen, wenn Privacy Shield bisher die einzige Rechtsgrundlage darstelle und keine neue Rechtsgrundlage gefunden worden ist
Das europäische Recht bietet sogenannte Standardvertragsklauseln als Rechtsgrundlage. Allerdings ist hier Vorsicht geboten: Denn sobald der Datentransfer in Drittländer (und somit auch den USA) auf der Grundlage von Standardvertragsklauseln stattfinden soll, muss der für den Datentransfer Verantwortliche zuverlässig bewerten, ob die Rechte der durch den Datentransfer betroffenen Personen im Drittland auf einem gleichen Schutzniveau wie in der EU gesichert sind.
Und genau hier fangen die Probleme an. Denn im Falle der USA hat der EuGH das gleichwertige Datenschutzniveau verneint. Somit werden zusätzliche Maßnahmen nötig, wenn Datentransfer auf Rechtsgrundlage von Standardvertragsklauseln stattfinden soll. Zu den möglichen Maßnahmen zählen organisatorische, technische und rechtliche Methoden – allerdings darf die tatsächliche Wirksamkeit der Ma0nahmen nicht durch die Rechtsordnung des Drittlandes beeinträchtigt werden.
Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer, so der Bundesdatenschutzbeauftragte. Allerdings kann eine Übermittlung von Daten in die USA nur dann über Standardvertragsklauseln begründet werden, wenn „zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der EU gewährleisten“. Das bedeutet: Die Umstände des Datentransfers müssen von Fall zu Fall betrachtet werden – und zwar auch und insbesondere bei dem Datentransfer in andere Länder.
Und wie prüft man nun die Gültigkeit einer Rechtsgrundlage für den Datentransfer in die USA?
Privacy Shield ist Geschichte – und folglich müssen Unternehmen den Datentransfer und den Datenschutz auf den Prüfstand stellen. Hierfür steht zunächst eine Bestandsaufnahme an – denn das Wissen, welche Daten genau übermittelt werden, ist essenziell für das weitere Vorgehen. Angeschlossen an die Bestandaufnahme ist dann eine Prüfung, auf welcher Rechtsgrundlage der Datentransfer personenbezogener Daten in die USA durchgeführt wird. Werden für den Datenexport Standardvertragsklauseln genutzt, muss unter anderem geklärt werden:
- Gibt es geeignete Garantien des Verantwortlichen in Sachen Datenschutz?
- Existieren durchsetzbare Rechtsbehelfe für die von Datenübermittlungen betroffenen Personen?
- Kann der Verantwortliche für die Datenübermittlung im Einzelfall prüfen, ob das Rechtssystem des Drittlandes ein angemessenen Schutzniveau bieten?
- Oder können alternativ zusätzliche Maßnahmen getroffen werden, die den Datenschutz sicherstellen?
In den USA haben insbesondere die Geheimdienste größtes Interesse an den persönlichen Daten, somit muss der Zugriff durch NSA und Co. verhindert werden. Denkbar wäre hier beispielsweise eine Verschlüsselung, die durch Geheimdienste nicht geknackt werden kann und für die nur der Datenexporteuer den Schlüssel besitzt. Auch eine vollständige Anonymisierung der personenbezogenen Daten würde dem Datenschutz entsprechen – allerdings ist hier wiederum zu prüfen, ob die übersendeten Daten dann überhaupt noch ihren Zweck erfüllen. Können keine Schutzmaßnahmen getroffen werden, ist der Datentransfer in die USA untersagt.
Schnelleinstieg Privacy Shield: Dringender Handlungsbedarf und was Sie jetzt wissen müssen!
Wir möchten Ihnen an dieser Stelle ein Webinar des Arbeitskreises "Privacy Shield" der Hamburger Handelskammer empfehlen, das unser Geschäftsführer Marcus Henschel mit initiiert hat:
In der Aufzeichnung vom 31.3.2021 erhalten Sie einen Schnelleinstieg in die Thematik, der es Ihnen ermöglicht, die Betroffenheit Ihres Unternehmens und den eigenen Handlungsbedarf einzuschätzen. Im Gespräch mit der Handelskammer haben der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar, und der Geschäftsführer von hamburg.de, Carsten Ludowig, die Thematik aus Sicht der zuständigen Aufsichtsbehörde und eines betroffenen Unternehmens beleuchtet.
Was nicht vergessen werden darf: Dokumentation und Informationspflicht
Als oberstes Gebot für alle Unternehmen, die Daten in die USA übermitteln, muss gelten: Die Überprüfung der Rechtmäßigkeit der Datenübertragung in die USA muss jederzeit für Aufsichtsbehörden nachprüfbar dokumentiert sein. Hierfür müssen Informationspflichten, beispielsweise die Datenschutzerklärung auf der Webseite, aktualisiert werden. In den Verzeichnissen von Verarbeitungstätigkeiten sind alle Änderungen bei den Rechtsgrundlagen einzutragen und den Anwendern somit bekannt zu machen.
Alle Änderungen und Überprüfungen müssen nach Umsetzung dokumentiert werden. Zum einen als Ausweis gegenüber den Aufsichtsbehörden, zum anderen auch gegenüber den Kunden, deren Daten in die USA übermittelt werden. Denn natürlich haben auch Kunden Anspruch auf Auskunft, auf welcher Grundlage der Datentransfer stattfindet. Können Unternehmen hier nicht mit einer rechtssicheren Antwort aufwarten, drohen nicht nur Sanktionen – sondern zusätzlich noch verärgerte Kunden.
Was die einen freut, verärgert die anderen
Das Ende des Datenschutzschildes freut Kritiker des Schutzschirmes. Der bereits erwähnte Aktivist Max Schrems beispielsweise sieht das Ende als Statement für mehr Datenschutz, denn der EuGH habe „nun zum zweiten Mal klargestellt, dass es einen Konflikt von EU-Datenschutzrecht und US-Überwachungsrecht“ gebe. Und da die EU „ihre Grundrechte nicht ändern wird, um die NSA zufriedenzustellen, besteht die einzige Möglichkeit, diesen Konflikt zu überwinden, darin, dass die USA solide Datenschutzrechte für alle Menschen – auch für Ausländer – einführen“.
Kritische Stimmen sehen das Ende des Schutzschildes naturgemäß anders. Der Chef des Digitalverbands eco fürchtet „fatale Folgen für die Internetwirtschaft“, denn ohne Privacy Shield gibt es jetzt „kaum noch Alternativen, Daten unkompliziert und rechtssicher aus der EU in die USA zu übertragen“. Andere kritische Stimmen sehen durch das Urteil eine „massive Rechtsunsicherheit“ auf Unternehmen zukommen.
Bedeutet das Ende des Datenschutzschildes nun das Ende jeglicher Datenübertragung?
Es geht bei dem Streit zunächst einmal nur um den Datenschutz von personenbezogenen Daten, die von Unternehmen in die USA weitergeleitet werden. Ein Datentransfer, der sich mit Artikel 49 der DSGVO rechtfertigen lässt, ist somit beispielsweise von dem Urteil nicht betroffen. Genau wie freiwillige Datenübertragungen der Nutzer, die E-Mails in Ausland senden oder sich eine Hotelübernachtung in den USA über eine Webseite buchen. Erwartet wird von Datenschutzexperten auf jeden Fall eine Stärkung der Grundrechte von EU-Bürgern – denn für den Datenaustausch mit den USA müssen nun ohne Ausreden besondere Schutzmaßnahmen ergriffen werden. Auch gestärkt worden sind die Befugnisse der Datenschutzaufsichtsbehörden, die jetzt bei jeder Datenverarbeitung prüfen müssen, ob die Anforderungen an den Datenschutz durch den EuGH erfüllt sind. Im Umkehrschluss bedeutet dies aber auch, dass die Datenübermittlung untersagt werden kann, wenn die Voraussetzungen nicht erfüllt werden.
Fazit
Das Ende des Datenschutzschirms ist nicht das Ende der Datenübermittlung zwischen der EU und den USA. Vielmehr geht es dem EuGH mit seinem Urteil um einen wirksamen Grundrechtsschutz. Personenbezogene Daten von EU-Bürgern sollen zukünftig wesentlich zuverlässiger vor US-Behörden geschützt werden – was nicht nur im Sinne von Unternehmen, sondern auch und vor allem von Privatleuten sein sollte. Wie kann man dem Streit um die Datenübertragung nun am einfachsten aus dem Weg gehen? Nun, entweder werden die Richtlinien und Gesetze detailliert umgesetzt – oder die Daten europäischer Bürger werden auf europäischen Servern gespeichert. Die Zukunft der interkontinentalen Datenübermittlung bleibt auf jeden Fall spannend.