Der Europäische Gerichtshof hat die EU-US-Datenschutzvereinbarung zum Transfer zwischen der EU und den USA gekippt. Welche Auswirkungen hat dies auf Unternehmen?
EuGH: EU-US-Datenschutzvereinbarung ist unwirksam
Mit dem Urteil des EuGH (Europäischer Gerichtshof) zerbricht eine Vereinbarung zwischen der EU und den USA bezüglich der Übertragung, Speicherung und Verarbeitung von EU-Nutzerdaten. Die sogenannte EU-US-Datenschutzvereinbarung – auch EU-US-Privacy Shield genannt – hat sich vor fünf Jahren aus dem gekippten Safe Harbour Abkommen für den Datentransfer zwischen EU-Staaten und den USA entwickelt. Mehr als 4.000 US-Unternehmen ließen sich mit diesem Privacy Shield zertifizieren. Mit dieser Zertifizierung war es EU-Unternehmen erlaubt, personenbezogene Daten an US-Unternehmen zu übermitteln.
EuGH sieht Schutz personenbezogener Daten in Gefahr
Aufgrund der US-Rechtslage, dass US-Geheim- und Nachrichtendienste ohne gerichtlichen Beschluss jederzeit Zugriff auf US-Server (und damit auch auf dort gespeicherte EU-Daten) haben, sieht der EuGH den Schutz dieser Daten in Gefahr. Obwohl US-Behörden für den Zugriff auf personenbezogene Daten bestimmten Anforderungen gerecht werden müssen, seien deren Überwachungsprogramme nicht auf das “zwingend erforderliche Maß” beschränkt. Für EU-Bürger bedeutet es zudem, dass sie so gut wie keine Handhabe haben, um gegen diese Praktiken vorzugehen und ihre Daten vor diesem Zugriff schützen zu können.
Standardvertragsklauseln helfen nur bedingt
Eine Alternative zu der EU-US-Datenschutzvereinbarung stellen die sogenannten Standardvertragsklauseln dar. Dabei handelt es sich um von der EU-Kommission vorgegebene Verträge, bei denen sich die Vertragspartner auf die Einhaltung angemessener Datenschutzstandards für die Datenübermittlung einigen. Tatsächlich stellen diese Verträge die meistgenutzten Verträge zwischen EU-Unternehmen und US-Unternehmen dar.
EU-Unternehmen können im Zweifelsfall die Datenübermittlung aussetzen und sich an die für sie zuständige Aufsichtsbehörde wenden. Diese entscheidet, ob die Übermittlung der Daten in die USA zu untersagen sind. Standardvertragsklauseln sind zwar ein probates Mittel, können aber vor einem kompletten Stopp des Datentransfers nicht schützen. Vor allem dann nicht, wenn es sich bei den Vertragspartnern um Unternehmen wie Google, Amazon oder Facebook handelt, deren Schutzniveau dem des EU-Rechts widerspricht.
Was geschieht bei Nichtbeachtung des EuGH Urteils?
Wenn Daten aus der EU an die USA übermittelt werden sollen, muss der Schutz der Daten gewährleistet sein. Halten sich Unternehmen nicht an diese Vorgaben, kann es zu empfindlichen Geldstrafen kommen. Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes des Unternehmens oder Konzerns können veranschlagt werden.
Was kann getan werden, um Datenschutzkonformität zu gewährleisten?
Standardvertragsklauseln können natürlich zwischen EU- und US-Unternehmen geschlossen werden, da diese weiterhin vom EuGH anerkannt werden. Dies ist aber natürlich zukünftig mit einem gewissen Risiko verbunden: der Datentransfer kann, muss aber nicht komplett ausgesetzt werden. Vor allem US-Unternehmen aus der Internet- und Telekommunikationsbranche, z.B. Amazon, Google und Facebook, werden wahrscheinlich weiterhin auf Nutzerdaten zugreifen – auch über das beschränkte Maß hinaus.
Handlungsrahmen für EU-Unternehmen
Der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Dr. Stefan Brink hat einen Handlungsrahmen für Unternehmen aufgestellt, die mit US-Diensten arbeiten. Unternehmen sollen dabei folgendermaßen vorgehen:
- Identifizierung und Dokumentation des gesamten Datentransfers in Drittländer (USA) sowie Erkundigung nach den dort vorherrschenden Sicherheitsgesetzen
- US-Dienstleister nach Standardvertragsklauseln fragen und diese auf Datenschutzkonformität prüfen
- Bei US-Anbietern nachfragen, ob sie EU-Server anbieten und auf diese ausweichen
- Umzug der Daten von einem US-Server auf einen EU-Server
- Wenn möglich, die Einwilligung der Nutzer einholen; hier müssen die Nutzer jedoch transparent auf Einsatz von US-Anbietern und die dazugehörigen Risiken hingewiesen werden
- Bereits bestehende Verträge und Datenschutzerklärungen anpassen und den Hinweis zur EU-US-Datenschutzvereinbarung entfernen
Zusätzliche Maßnahmen
- Verschlüsselung einbauen, bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht umgangen werden können
- Anonymisierung oder Pseudonymisierung, bei der nur der Datenexporteur die Zuordnung vornehmen kann
- Aufnahme zusätzlicher Verpflichtungen in den Standardvertragsklauseln
Muster für US-Dienstleisteranschreiben
Auf der Website Non of your Business gibt es Mustervorlagen, die datenschutzrelevante Fragen enthalten. Diese kannst Du verwenden, um Deine(n) US-Dienstleister um Auskunft zu bitten.
Was macht AppYourself?
Wir nehmen den Schutz Deiner Daten sehr ernst und prüfen aktuell mit unserem Datenschutzbeauftragten all unsere Module und Features auf Datenkonformität. In diesem Zuge passen wir auch unsere Datenschutzerklärung und die Verträge an, falls dies erforderlich sein sollte. Wir halten Dich hier in unserem Blog sowie im Newsletter auf dem Laufenden und erklären Dir, welche Maßnahmen wir treffen werden und welche Auswirkungen dies auf unser System hat.
Weitere Quellen
