Ratgeber

Privacy-Shield gekippt: Das müssen Unternehmen jetzt wissen

(Foto: Shutterstock)

Lesezeit: 4 Min.
Artikel merken

Der Europäische Gerichtshof (EuGH) hat das transatlantische Datenschutzabkommen Privacy-Shield gekippt, aber gleichzeitig die Standardvertragsklauseln bestätigt. Was das für Unternehmen bedeutet und was diese jetzt tun sollten.

Am 16. Juli hat der EuGH eine Entscheidung verkündet, auf die viele Unternehmen gespannt gewartet haben – ging und geht es doch um den internationalen Transfer personenbezogener Daten, also Vorgänge, die in nahezu jedem Unternehmen eine essenzielle Rolle spielen.

Die Entscheidung der Luxemburger Richter, das 2016 in Kraft getretene Privacy-Shield-Abkommen für ungültig zu erklären, hat weitreichende Auswirkungen auf den Datentransfer zwischen der EU und den USA. Umso mehr, da die Entscheidung des EuGH für akuten Handlungsbedarf bei allen Unternehmen sorgt, die personenbezogene Daten mit den USA austauschen, da es keine Übergangsfrist gibt.

Die Folge: Unternehmen können umfangreiche transatlantische Datentransfers nur noch rechtssicher vornehmen, wenn sie auf Basis der sogenannten Standardvertragsklauseln erfolgen oder – was eher selten der Fall sein wird – unter einen der wenigen Ausnahmetatbestände fallen. Glück im Unglück: Der EuGH hat die Standardvertragsklauseln in ihrer Wirksamkeit bestätigt und damit zumindest den Stillstand des weltweiten Datentransfers verhindert.

Privacy Shield ist tot, es leben die Standardvertragsklauseln

Gleichwohl bedeutet das nicht, dass Unternehmen einfach Privacy Shield gegen Standardvertragsklauseln ersetzen können. Denn die Standardvertragsklauseln müssen mit jedem Vertragspartner individuell abgeschlossen werden – ein potentiell langwieriger und rechtlich wie logistisch komplexer Prozess. Beim Privacy Shield galt hingegen die Devise: ein Datenschutzabkommen, das alle Datentransfers zwischen der EU und den USA abdeckt.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Ein weiterer – und nicht zu unterschätzender – Faktor ist, dass manche Unternehmen aufgrund der bequemen Pauschalwirkung der nun vom EuGH verworfenen Regeln oftmals überhaupt keinen Überblick mehr darüber haben, welche Daten sie konkret in die USA übermitteln oder zu welchen Zwecken dies passiert. Die dadurch zwingend notwendige interne Aufklärungsarbeit macht die Herausforderung oft umso schmerzvoller. Angesichts der hohen potentiellen Bußgelder sollten Unternehmen aber Datenübertragungen in die USA sehr genau prüfen und im Zweifel eher aussetzen, bis die Datenschutzlücke durch den Wegfall von Privacy Shield geschlossen ist und individuelle Standardvertragsklauseln ausgehandelt worden sind.

Max Schrems vs. Facebook

Doch wie konnte es eigentlich so weit kommen? Das ganze Verfahren ins Rollen brachte eine Beschwerde des Datenschützers Max Schrems gegen Facebook Irland. Seit der EuGH 2015 das Vorgängerabkommen von Privacy Shield zur Datenübermittlung zwischen der EU und den USA – Safe Harbour genannt – gekippt hatte, übermittelte Facebook weiter personenbezogene Daten an den Mutterkonzern in die USA – nach eigener Darstellung sowohl auf Basis der Standardvertragsklauseln als auch des Privacy Shields.

Vor dem EuGH ging es daher sowohl um das Privacy Shield als auch um die Gültigkeit der Standardvertragsklauseln. Über Monate hinweg wurden namhafte Experten befragt und Vergleiche der unterschiedlichen Herangehensweisen der Geheimdienste diesseits und jenseits des Atlantiks angestellt. Am Ende reichte es jedoch nicht aus. Die Luxemburger Richter erklärten Privacy Shield beziehungsweise die darauf basierende Angemessenheitsentschließung der EU-Kommission kurzerhand für unwirksam.

Der EuGH begründete seine Entscheidung im Wesentlichen mit nicht ausreichenden Beschränkungen der Zugriffsberechtigungen, die es den US-amerikanischen Behörden ermöglichen, auf personenbezogene Daten von EU-Bürgern zuzugreifen. Diese Option ist in der EU zwar grundsätzlich ebenfalls vorhanden, jedoch mit einem entscheidenden Unterschied: Als EU-Bürger hat man die Möglichkeit, hierzulande gegen solche Maßnahmen gerichtlich vorzugehen. In den USA ist das in den Augen der EuGH-Richter nicht ausreichend gegeben. Der Rechtsschutz für EU-Bürger soll zwar laut Zusagen der US-Regierung möglich sein, das hat den EuGH aber nicht überzeugt.

Unternehmen müssen jetzt zeitnah handeln

Wie bereits erwähnt, wirkt sich die Entscheidung des EuGH auf die Datenübermittlung von Unternehmen in die USA aus. Um Rechtssicherheit zu haben, müssen sich Unternehmen bei solchen Datentransfers mit US-Vertragspartnern wie etwa Cloud-Anbietern fortan versichern lassen, dass diese von sich aus darauf hinweisen, wenn sie die strengen Vorgaben der Standardvertragsklauseln nicht mehr einhalten können.

Sobald dies der Fall ist – etwa aufgrund von anderslautenden nationalen Regelungen oder behördlichen Maßnahmen auf Grundlage des Foreign Intelligence Surveillance Acts –, muss die davon betroffene Datenübermittlung auf eine andere Rechtsgrundlage gestützt oder ganz eingestellt werden. Ist das nicht der Fall, besteht das Risiko, dass nationale Aufsichtsbehörden tätig werden und zum Beispiel den Datentransfer untersagen und hohe Bußgelder verhängen, die je nach Umsatz des Unternehmens durchaus in die Millionen gehen können.

Datenspeicherung in der EU prüfen

Unternehmen sollten die Entscheidung des EuGH daher nun zum Anlass nehmen, um die tatsächliche Erforderlichkeit von US-Datentransfers und die Möglichkeiten einer Datenverarbeitung in der EU zu prüfen. Darüber hinaus lassen sich bei manchen großen US-amerikanischen Cloud-Anbietern durch die Auswahl entsprechender Optionen Daten auch durchaus auf Servern in der EU verorten, bei denen ein Zugriff der amerikanischen Geheimdienste zumindest mit größeren Hürden versehen ist.

Doch Vorsicht, der Teufel steckt oft im Detail: So sollte nicht nur die Verarbeitung und Speicherung der Daten in der EU erfolgen, sondern beispielsweise auch der Support muss dann aus einem europäischen Mitgliedsstaat heraus erfolgen. Denn auch ein nur temporärer Zugriff auf EU-Daten aus den USA heraus stellt bereits eine datenschutzrechtlich relevante Verarbeitungsmaßnahme dar und muss ebenfalls durch die Standardvertragsklauseln legitimiert sein.

Unternehmen kommen also um eine sorgfältige Analyse der eigenen Datenströme nicht herum. Da diesbezügliche Transparenz aber zugleich eine Grundanforderung der EU-Datenschutzgrundverordnung (DSGVO) darstellt und etwa im Verarbeitungsverzeichnis abgebildet sein muss, schlagen die Unternehmen hier zumindest zwei Fliegen mit einer Klappe, wenn sie sich jetzt zeitnah darum kümmern.

Das könnte dich auch interessieren

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Digitales High Five
Holger Schellkopf (Chefredakteur t3n)

Anleitung zur Deaktivierung

Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder