Der Europäische Gerichtshof (EuGH) hat das Privacy-Shield-Abkommen gekippt. Das hat Folgen für unzählige europäische Betriebe – auch aus dem Handwerk. Was Firmenchefs jetzt prüfen sollten.
Was haben die Dienste Google-Analytics, YouTube, Google-Maps und Zoom gemeinsam? Sie alle kommen in zahlreichen Betrieben regelmäßig zum Einsatz oder sind auf deren Webseiten eingebunden. Und: Sie alle verarbeiten personenbezogene Daten in den USA. Bislang war das – trotz DSGVO – unproblematisch. Zumindest dann, wenn sich der entsprechende US-Anbieter selbstverpflichtet hatte, die Regeln des sogenannten Privacy Shield einzuhalten. Nun hat der EuGH diese Möglichkeit jedoch kassiert – wegen Datenschutzbedenken. Was das Urteil konkret bedeutet und wie Unternehmer jetzt handeln sollten:
Was ist die zentrale Aussage des Urteils?
Das Urteil beinhaltet zwei Entscheidungen: Zum einen stellt der Gerichtshof fest, dass Standardvertragsklauseln zur Datenübertragung ins Ausland nicht gegen die Charta der Grundrechte der Europäischen Union verstoßen. Diese nutzt auch Facebook für die Datenübertragung zwischen der EU und den USA. Das Datenabkommen "Privacy Shield" zwischen den USA und der EU erklärt der EuGH hingegen für ungültig.
Was ist "Privacy Shield"?
Nach dem Scheitern des "Safe Habor"-Abkommens zwischen den USA und der EU vor dem EuGH 2015 wurde ein Jahr später eine Abmachung zwischen der Europäischen Union und den Vereinigten Staaten geschlossen. Darin wurde geregelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen. Es wird pauschal festgestellt, dass eine wichtige Bedingung der Europäischen Datenschutz-Grundverordnung (DSGVO) erfüllt ist. Nach der DSGVO dürfen im Ausland nur personenbezogene Daten gespeichert und verarbeitet werden, wenn die Datenschutzvorkehrungen in jenem Land ähnlich hoch sind. In einer Selbstverpflichtung erklären die Unternehmen dabei, dass dies der Fall ist.
Warum wurde "Privacy Shield" jetzt für ungültig erklärt?
Dem EuGH gehen die Überwachungsbefugnisse der amerikanischen Geheimdienste und Sicherheitsbehörden zu weit. Nach dem amerikanischen Foreign Surveillance Act (FISA) dürfen NSA, FBI und andere auch ohne einen richterlichen Beschluss die Daten ausländischer Nutzer durchforsten. Den Enthüllungen des Whistleblowers Edward Snowden konnte man entnehmen, dass Daten von Microsoft, Facebook, Google, Apple, Yahoo und anderen abgesaugt werden. Der EuGH sagt nun, dass die Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.
Was hat es mit den Standardvertragsklauseln auf sich?
In diesen Verträgen erklären die beteiligten Parteien, dass es auch im Ausland einen angemessenen Schutz für die Daten von EU-Bürgern gibt. Sie gelten deshalb als einfach anwendbares Instrument, um rechtskonform personenbezogene Daten ins Ausland zu übermitteln. Der EuGH hat in seinem Urteil jedoch auch hier eine Einschränkung getroffen. Unternehmer aus der EU dürften den Klauseln nicht mehr blind vertrauen, sondern müssten prüfen, ob der Datenschutz vom Anbieter tatsächlich eingehalten werden kann .
Es empfiehlt sich also aktiv nachzuhaken, welche konkreten Datenschutzstandards beim jeweiligen Dienstleister zur Anwendung kommen. Gerade bei großen Anbietern wie Google oder Facebook könnte es jedoch schwierig für kleine und mittelständische Betriebe werden, eine Auskunft zu erhalten. Es ist dennoch ratsam, die eigenen Bemühungen zu dokumentieren.
Sind nur Kunden von Firmen wie Facebook und Microsoft betroffen?
Nein, die Entscheidung des EuGHs betrifft ganz grundsätzlich die Datenübertragung ins Ausland. Häufig werden Daten auch in den USA gespeichert, selbst wenn man es mit Firmen aus Europa zu tun hat. Diese greifen nämlich häufig auf Cloud-Dienste in den USA wie Amazon AWS, Microsoft Azure oder Google Cloud zurück. In der Regel agieren die großen US-Anbieter nicht allgemein unter dem Dach des "Privacy Shield", sondern haben Verträge abgeschlossen.
Microsoft erklärte, gewerbliche Kunden können die Dienste des Unternehmens in Übereinstimmung mit dem europäischen Recht weiterhin nutzen. "Das Urteil des Gerichtshofs ändert nichts daran, dass Sie heute Daten zwischen der EU und den USA über die Microsoft-Cloud übertragen können." Man biete den Kunden seit Jahren einen überlappenden Schutz sowohl im Rahmen der Standardvertragsklauseln als auch im Rahmen des "Privacy Shield" für Datentransfers.
Was müssen Unternehmer jetzt tun?
Wer Dienste von US-Firmen wie Google, Facebook, Skype oder YouTube nutzt – sei es als digitales Adressbuch, Cloud, für Videokonferenzen oder eingebettet in die Website – verarbeitet dort in der Regel immer auch personenbezogene Daten. Gehen die Daten in ein Drittland außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR), muss sichergestellt sein, dass der Datenschutz dort ein vergleichbares Niveau hat wie hierzulande. Das Privacy-Shield taugt hierfür nach dem EuGH-Urteil nicht mehr.
Unternehmer sollten daher in einem ersten Schritt prüfen, welche digitalen Dienste von Anbietern außerhalb der EU/dem EWR im Betrieb genutzt und in welchen Fällen personenbezogene Daten an diese Unternehmen übermittelt werden. Kritisch sind vor allem Anbieter, die bislang ausschließlich auf das Privacy-Shield gesetzt haben. Im Anschluss sollten sich Betroffene erkunden, ob ihr Anbieter eine Regelung für Kunden aus der EU treffen wird, etwa über eine EU-Standardvertragsklausel.
Zudem lohnt sich ein Blick in die eigene Datenschutzerklärung: Wer hier bei der Datenübertragung an einen außereuropäischen Anbieter lediglich auf das Privacy-Shield-Abkommen hinweist, sollte die Formulierung unbedingt anpassen. In einigen Fällen kann auch der Umstieg auf einen europäischen Anbieter eine Lösung sein.
Wie geht es weiter?
Die US-Regierung und die EU-Kommission haben nach eigenen Angaben bereits Gespräche über eine Neuregelung für die Datenübermittlung über den Atlantik begonnen. Man wolle die Aussichten für einen verbesserten "Privacy-Shield"-Rahmen ausloten, der mit dem Urteil des Europäischen Gerichtshofs vereinbar wäre.
Bis ein neues Abkommen die Datenschutzlücke gegebenenfalls schließen kann, besteht jedoch Handlungsbedarf. Die Aufsichtsbehörden werden das EuGH-Urteil nun auswerten und darauf aufbauend Empfehlungen veröffentlichen. Zu erwarten ist, dass sie den Unternehmen eine gewisse Übergangszeit einräumen werden, um ihre Datenverarbeitungen anzupassen oder umzustellen. Nach dieser Übergangszeit dürften weiterhin bestehende Datenschutzverstöße dann mit Bußgeldern geahndet werden. dhz/fre