Die Entscheidung des EuGH, das Privacy Shield genannte Datenschutzabkommen mit den USA zu kippen, setzt die Anwenderunternehmen in Deutschland und Europa erheblich unter Druck. Sie dürfen keine personenbezogenen Daten mehr in die USA übermitteln, wenn die Übermittlung bisher auf Basis des Privacy Shields erfolgte. VOICE empfiehlt Anwendern dringend die Verträge mit Cloud-Providern zu überprüfen und Daten zu verschlüsseln. Von der Bundesregierung fordert VOICE schnelle Abhilfe und vor allem, die Digitale Souveränität mit deutlich größerem Nachdruck zu verfolgen.
Innerhalb der EU und für Unternehmen, die in der Gemeinschaft Geschäfte machen wollen, ist die General Data Protection Regulation (GDPR) ein scharfes Schwert. Sie schützt die personenbezogenen Daten ihrer Bürger wie kein zweites Datenschutzgesetz der Welt. Unter anderem verbietet es die Übermittlung solcher Daten in Drittländer, deren Datenschutzgesetze kein angemessenes Schutzniveau bieten. Wenn dieses Niveau durch die Gesetze des Drittlandes nicht gegeben ist, kann die EU einen sogenannten Angemessenheitsbeschluss fassen, der feststellt, dass das Schutzniveau ausreichend ist, wenn bestimmte Regeln zusätzlich vereinbart werden. Der 2016 vereinbarte EU-US Privacy Shield stellt eine solche bilaterale Absprache dar. In ihr geben die USA die Zusage, sich an bestimmte Regeln wie Datensparsamkeit zu halten. Wohlgemerkt, die USA sagen die Einhaltung der Regeln zu, aber es handelt sich bei Privacy Shield nicht um einen verbindlichen Vertrag. Die US-Unternehmen, die sich dem Privacy-Shield unterwerfen, unterzeichnen eine Selbstverpflichtung, deren Einhaltung vom amerikanischen Handelsministerium stichprobenartig überwacht wird. Zurzeit haben rund 4000 US-Unternehmen die Selbstverpflichtung unterzeichnet. An sie dürfen personenbezogene Daten von EU-Bürgern übermittelt werden.
Cloud Act und Patriot Act konterkarieren Privacy Shield teilweise
Obwohl die Zusagen der Amerikaner in Privacy Shield zum Teil vom Cloud Act (2018) und vom Patriot Act (2001) konterkariert werden, dient er als wesentliche Grundlage für die Übermittlung personenbezogener Daten aus der EU in die USA. Vom Privacy Shield betroffen sind im Prinzip fast alle europäischen Unternehmen, die ihre Daten von US-Cloud-Anbietern verarbeiten lassen und zum anderen Unternehmen, die personenbezogene Daten ihrer Kunden zum Beispiel an Mutter- oder Tochterunternehmen weiterleiten oder die aus anderen Gründen personenbezogene Daten in die USA transferieren. Das gilt auch für die großen Social Networks und Suchmaschinenanbieter, die die Daten von EU-Bürgern sammeln und in die USA übermitteln.
Datenübermittlung in die USA wird illegal
Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) das Privacy Shield Abkommen zwischen den USA und der EU für unrechtmäßig erklärt. Alternativen für einen rechtmäßigen Datentransfer in die USA gibt es kaum. Damit wird ein Großteil der Übermittlungen personenbezogener Daten in die USA künftig illegal.
Ähnliches droht den sogenannten Standardvertragsklauseln, die europäische Unternehmen in ihre Verträge mit US-Providern aufnahmen, als 2015 der Vorgänger von Privacy Shield – das Safe-Harbour-Abkommen vom EuGH gekippt worden und Privacy Shield noch nicht in Kraft war. Wenn auch diese schon immer rechtlich umstrittenen Standardvertragsklauseln nicht mehr rechtmäßig sind, fehlt der Übermittlung personenbezogener Daten in die USA auch diese Rechtsgrundlage. Auf deutsch: Jedes Unternehmen, dass personenbezogene Daten in die USA ohne Rechtsgrundlage übermittelt, verstößt gegen geltendes Recht, was empfindliche Strafen nach sich ziehen kann.
Unrechtmäßigkeit stellt Anwenderunternehmen vor erhebliche Herausforderungen
Die durch den EuGH festgestellte Unrechtmäßigkeit von Privacy Shield stellt sehr viele Anwenderunternehmen und VOICE-Mitglieder, die in den letzten Jahren erhebliche Summen in die Compliance zur DSGVO/GDPR investiert haben, erneut vor erhebliche Herausforderungen. Wie sollen sie die teilweise existenziell notwendige Übermittlung personenbezogener Daten in die USA gewährleisten, bzw. sich vor einem Abfluss von Daten in die USA schützen?
In Anbetracht der unverlässlich gewordenen Beziehungen zwischen den USA und der EU ist zu befürchten, dass es sehr schwierig wird, eine Nachfolgeregelung zu vereinbaren, die den Regeln der GDPR entspricht.
Deutschen und europäischen Unternehmen, die personenbezogene Daten in die USA übermitteln, empfiehlt VOICE daher:
- zu überprüfen, ob ihr Datenmanagementsystem in der Lage ist, sämtliche Datenströme im Detail zu monitoren, da sie jederzeit Aussagen dazu treffen können müssen, wo personenbezogene Daten verarbeitet und gespeichert werden.
- sämtliche Verträge mit US Cloud-Providern und mit Providern, die ein signifikantes US-Geschäft haben, zu überprüfen. Im Zweifelsfall dürfen dem/den Providern nur verschlüsselte Daten anvertraut werden und die Schlüssel ausschließlich in den Händen Ihres Unternehmens sein.
VOICE fordert schnell ein neues Abkommen und mehr Digitale Souveränität
Von der Bundesregierung und der EU-Kommission fordert VOICE ein verbindliches Datenschutzabkommen mit den USA zu schließen, das ein ausreichendes Datenschutzniveau garantiert, damit Unternehmen wieder legal personenbezogene Daten in die USA übermitteln können. Ansonsten befürchten wir, dass die wirtschaftlichen Beziehungen zwischen den USA und Europa schweren Schaden nehmen.
Gleichzeitig fordert VOICE die Bundesregierung und die EU auf, den jetzt eingeschlagenen Weg zu größerer Digitaler Souveränität mit höherem Nachdruck weiterzuverfolgen Insbesondere wünschen wir uns:
- den Aufbau einer europäischen Cloud-Infrastruktur, die die Interessen der IT-Anwenderunternehmen berücksichtigt und deren Beteiligte eindeutig auf die Einhaltung der GDPR verpflichtet sind;
- dass europäische und nationale Behörden und Einrichtungen der öffentlichen Hand in Europa ausschließlich europäische Cloud-Provider nutzen, die die GDPR einhalten
- die nachhaltige Förderung insbesondere mittelständischer Software- und Servicehäuser sowie App-Anbietern, damit mittelfristig europäische Alternativen zu den amerikanischen Anbietern entstehen.
Foto: Gerichtshof der Europäischen Union