News

Datenschutz & Datensicherheit

Privacy Shield gekippt - USA kein sicherer Drittstaat mehr

Der Europäische Gerichtshof (EuGH) erklärte gestern den transatlantischen "Privacy Shield" und damit eine der wichtigen Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA für nichtig. Grund dafür sind in den Vereinigten Staaten bestehende Gesetze, wonach Sicherheitsbehörden Daten von EU Bürgern praktisch ohne Einschränkung überwachen können.

Hintergrund

Grundsätzlich existieren drei Möglichkeiten personenbezogene Daten von europäischen Bürgern in die USA zu transferieren. Möglichkeit Nummer eins ist ein Angemessenheitsbeschluss der EU-Kommission. Verliehen wurde diese Angemessenheit beispielsweise an Neuseeland, Japan oder an die Schweiz. Damit beurteilt die EU-Kommission die Datenschutzgesetze des Landes als gleichwertig zur DSGVO. Unternehmen können sich bei einem Datentransfer auf diesen Angemessenheitsbeschluss berufen. Die zweite Möglichkeit sind die sogenannten Standardklauseln. Damit muss mit dem Datenempfänger ein Vertrag geschlossen werden, in welchem sich dieser verpflichtet, die EU-Standards einzuhalten. Im Unterschied zum Angemessenheitsbeschluss wird ein Vertrag mit jedem Datenempfänger benötigt. Die dritte Möglichkeit stellen die sogenannten Binding Corporate Rules (BCRs) war, mit welchen sich Konzerne, mit ihren weltweiten Niederlassungen an die europäischen Datenschutzregeln «binden». Für Konzerne ist dieser Weg schon aus Haftungsfragen sinnvoll, wenn bei einem Sicherheitsvorfall Rückgriff auf die europäische Zentrale genommen wird.

Kommentar

Der EuGH hat nun in seinem gestrigen Urteil das Privacy Shield für nichtig erklärt, womit ein Datentransfer in die USA nur noch mit Standardvertragsklauseln oder innerhalb von Konzernen mit Binding Corporate Rules möglich ist. Dabei war es eigentlich verwunderlich, dass das privacy shield von der EU-Kommission als angemessene Garantie aktzeptiert wurde. Neben den Überwachungsmassnahmen der USA, herrscht in Amerika ein zu Europa absolut konträres Verständnis zum Thema Datenschutz. Die meisten grossen Datenkraken wie Google und Facebook sind in den USA beheimatet und ihre Datensammelwut war schlussendlich Auslöser für die Ausarbeitung der DSGVO. Zudem basiert das Geschäftsmodell dieser Datenkraken auf dem Erheben von Daten. Länder wie Japan, Neuseeland oder aktuell die Schweiz mussten und müssen sich einem langwierigen Verfahren zur Prüfung der Angemessenheit unterziehen, wohingehend sich die USA, mit einem eher als Absichtserklärung formulierten Privacy Shield, aus der Affaire zog.

Plan B, die Übermittlung von personenbezogenen Daten auf Basis von Verträgen mit den Datenempfängern, ist weiter zulässig. Allerdings ist neu in jedem Einzelfall eine Risikoeinschätzung erforderlich und im weiteren kann eine Pflicht bestehen, die Standardklauseln zu ergänzen. Das bedeutet, dass der Datenexporteur die Verträge in jedem Einzelfall sorgfältig prüfen und dem Datenimporteur detaillierte Pflichten auferlegen muss. Viele US Unternehmen werden aktuell organisatorisch und technisch gar nicht in der Lage sein, die europäischen Vorgaben einzuhalten. Das aktuelle Urteil hievt die Anforderungen an den interkontinentalen Datentransfer auf ein völlig neues Niveau.

Empfehlung

Für Unternehmen mit direkten Datentransfers in die USA, besteht nach diesem Urteil nur noch die Lösung mit Standardvertragsklauseln und BCRs zu arbeiten. Viele Datentransfers finden jedoch indirekt statt, wenn Produkte und Dienstleistungen von technischen Lösungsanbieter aus Amerika in Anspruch genommen werden. Beispiele sind Office 365 von Microsoft, die Google Cloud, Whatsapp, Google Webprodukte wie Analytics, Adwords, etc.

Unsere Empfehlung ist es, dahingehend so weit wie nur möglich auf europäische Lösungsanbieter zu setzen. Im Hinterkopf kann dabei auch immer stehen, dass wirklich jeder einzelne Datentransfer in die USA von NSA und Co eingesehen und gefiltert werden kann. Das heisst wir liefern die Daten unserer Kunden und Mitarbeiter an einen Staat aus, ohne kontrollieren oder bestimmen zu können, wie damit umgegangen wird.

Zurück