EU-US-Privacy Shield gekippt: Welche Programme betroffen sind

Es war schon ein wenig absehbar, aber nun haben wir es Schwarz auf Weiß:

Der Europäische Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig.

(Quelle: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf)

Vor allem liegt das daran, dass die Behörden in den USA unverhältnismäßigen Zugriff auf personenbezogenen Daten haben (#CloudAct).

Der EUGH hat in seiner Begründung zum Sturz des Privacy Shields festgestellt,

dass die von der Kommission im Privacy- Shield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.

Ursprünglich ging es dem Kläger, Maximilian Schrems, um Facebook, aber es betrifft noch deutlich mehr Software, die vor allem von KMUs und Vereinen genutzt werden, da sie vermeintlich kostenlos sind. „Vermeintlich“, weil es eben auch die Services sind, die sich durch unsere Daten finanzieren.

Dienste, die einen rechtmäßigen Datentransfer in ein unsicheres Drittland (hier konkret die USA) bislang auf das „Datenschutzschild“ stützen, sind neben den Plugins von Facebook, Twitter und Instagram:

  • Whatsapp
  • Slack
  • Asana
  • Dropbox
  • Bitrix24
  • Mailchimp
  • Evernote
  • SurveyMonkey

Weitere Privacy-Shield-zertifizierte Unternehmen sind zum Beispiel:

  • Adobe
  • Airbnb
  • Ancestry
  • Animoto
  • Bonusly
  • Cisco Systems
  • Citrix Systems
  • Cloudflare (CDN)
  • Fitbit
  • Github
  • Google (inklusive Analytics, Adsense, DoubleClick, Maps, Webfonts, Hangouts, Meet, Youtube)
  • LinkedIn
  • LogMeIn (GoToMeeting)
  • Microsoft (inklusive Skype und Teams)
  • Reddit
  • Smugmug/ Flickr
  • Tesla
  • Zoom
  • Zendek
  • Zoho

Die Liste ist auf gar keinen Fall vollständig. Wer wissen möchte, ob sein Dienstleister auch Privacy-Shield-zertifiziert ist, kann das hier prüfen: https://www.privacyshield.gov/list

Drum prüfe….

Wichtig ist, bei allen Diensten, die Sie in Ihrem Verein oder Unternehmen nutzen (sei es im Bereich Teamverwaltung, Websites/ Mailing oder Collaboration), genau in die AGB und Datenschutzrichtlinien zu schauen. Prüfen Sie daher immer, wo Ihr Anbieter seinen Firmensitz hat und wohin die Daten der Nutzer übermittelt werden. Nicht jeder Dienstleister übermittelt automatisch personenbezogene Daten. Und manche Anbieter haben neben dem Privacy Shield (quasi als vorbeugende „Fall-back“-Lösung) auch Standarddatenschutzklauseln im Vertrag (bspw. Amazon/ Microsoft) – dazu gleich mehr. Prüfen Sie also genau, ob der Beschluss des Europäischen Gerichtshofes für Sie relevant ist.

zur Erinnerung: Drittlandübermittlung

Die DSGVO sieht ab Art. 44 vor, dass Verantwortliche, die personenbezogenen Daten in ein Drittland übermitteln, hierfür geeignete Garantien zum Schutz der Daten nachweisen müssen. Drittländer sind alle Länder außerhalb der EU – künftig also auch Großbritannien. Garantien zum Schutz können ein Angemessenheitsbeschluss der EU sein (z.B. für die Schweiz, Israel, Japan…) oder so genannte Standard-Vertragsklauseln. Bis zum 15.07.2020 zählte auch der Privacy Shield dazu, der nun eben gekippt wurde.

Was also tun, wenn die EU für ein Drittland keinen angemessenes Datenschutzniveau festgestellt hat? Die Lösung könnte heißen: Standardvertragsklauseln

Standardvertragsklauseln grundsätzlich gültig.

In seinem Urteil erklärt der EuGH die Standardvertragsklauseln grundsätzlich für weiterhin gültig. ABER gleichzeitig weist er darauf hin

dass (…) der Datenexporteur und der Empfänger der Übermittlung vorab prüfen müssen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und dass der Empfänger dem Datenexporteur gegebenenfalls mitteilen muss, dass er die Standardschutzklauseln nicht einhalten kann, woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Inwiefern diese Klauseln mit der Begründung des EUGH (unverhältnismäßiger Zugriff der Behörden auf personenbezogenen Daten) konform gehen, wird sich vermutlich in den nächsten Wochen klären.

Eine andere Lösung wäre die freiwillige Einwilligung. Informieren Sie die Betroffenen und machen Sie deutlich, dass das Datenschutzniveau in den USA nicht gleichwertig ist. Willigen die Betroffenen dennoch (freiwillig!!!) in die Datenverarbeitung ein, ist die Verarbeitung nach aktuellem Stand rechtmäßig. Aber Vorsicht: Bei Einwilligungen im Arbeitsverhätnis kann häufig die Freiwilligkeit angezweifelt werden!

Übrigens: Wer sein Verzeichnis für Verarbeitungstätigkeiten gut gepflegt hat, weiß sofort, welche Daten wohin und auf welcher Rechtsgrundlage übermittelt werden.

Und wer weiß? Vielleicht ist ja genau jetzt ein guter Zeitpunkt, sich nach einem europäischen Anbieter umzusehen….(und Ihr Verfahrensverzeichnis zu aktualisieren) 😉

Bildquellen

  • gdpr-3438468_1920-pixabay-TheDigitalArtist-PeteLinforth: Pixabay - Pete Linforth (TheDigitalArtist)