Seite wählen

Das EU-US Privacy Shield ist unzulässig – Datenübermittlung in die USA

Für diesen Beitrag gibt es ein Update vom 13.08.2020. Lesen Sie in unserem IT-Blog mehr darüber.
»
Zum Beitrag „Update: Das EU-US Privacy Shield ist unzulässig – Datenübermittlung in die USA“

Vergangenen Donnerstag hat der EuGH das sog. „EU-US Privacy Shield“ der EU-Kommission für unwirksam erklärt.

Daraus resultiert, dass eine Datenübermittlung in die USA, z.B. durch Nutzung von US-Dienstleistern oder US-Cloud Ressourcen, nicht mehr durch das Privacy Shield legitimiert werden kann, es fehlt schlichtweg die Rechtsgrundlage für eine Übermittlung. Eine weiter andauernde Übermittlung wäre rechtswidrig und damit potenziell empfindlichen Bußgeldern ausgesetzt.

Auch wenn man nun nicht von heute auf morgen alle US-Cloud Dienste verlassen oder deren Nutzung einstellen kann, darf man nicht völlig untätig bleiben. Zügiges Handeln ist wohl angebracht, um diese Datenverarbeitungen entweder sofort einzustellen oder auf rechtlich andere „Füße“ zu stellen.

Eine Alternative zum EU-US Privacy Shield sind die sog. EU Standardvertragsklauseln, die mit den jeweiligen Anbietern geschlossen werden könnten.

Kurzfristig ist dies sicher eine gute Möglichkeit, die Datenverarbeitung auf eine legitimen Rechtsgrundlage zu stützen, aber als Dauerlösung taugt dies wohl eher nicht.

Denn die Voraussetzung zur Wirksamkeit der EU-Standardvertragsklauseln ist, dass bei der Übermittlung personenbezogener Daten das vom Unionsrecht verlangte Schutzniveau eingehalten wird.

Ob das aufgrund der US-Gesetze überhaupt möglich ist, muss Stand jetzt bezweifelt werden. Sicherheitsgesetze in den USA, wie der Foreign Intelligence Surveillance Act (FISA) 702 oder der sog. US CLOUD Act, die den US-Sicherheitsbehörden erlauben, ohne richterlichen Beschluss Zugriff auf personenbezogene Daten zu nehmen, stehen nicht im Einklang mit dem geforderten Schutzniveau der EU-Kommission. 

Somit wird auch die Verwendung der EU-Standardvertragsklauseln im Falle der USA in vielen Fällen dazu führen, dass Aufsichtsbehörden bei einer Prüfung die jeweilige Datenverarbeitung als unzulässig einschätzen und ahnden können, solange nicht die USA bessere Rechtsschutzmöglichkeiten gegen staatliche Überwachung einräumen. Letzteres ist aber nicht in naher Zukunft zu erwarten.

WICHTIG: Die EU-Standardvertragsklauseln können nur zwischen dem Verantwortlichen und dem Datenempfänger geschlossen werden. Der Auftragnehmer des Verantwortlichen hat also keine Möglichkeit, die EU-Standardvertragsklauseln auf seine Unterauftragnehmer anzuwenden.

Ein Beispiel: Sie beauftragen einen Dienstleister in Deutschland, der seine Daten wiederum auf einem Server in den USA speichert. So kann der in Deutschland ansässige Dienstleister keine Standardvertragsklauseln mit dem US-Anbieter abschließen, die Ihre Auftragsverarbeitung abdeckt.
Das macht es vor allem für Auftragsverarbeiter, die US-Dienstleister als Unterauftragnehmer für ihre Leistungen einsetzen, sehr schwierig, diese Dienste überhaupt weiter zu nutzen.

Als weitere Rechtsgrundlage käme auch die Einwilligung der Betroffenen grundsätzlich in Frage. Allerdings sollte dies aufgrund des in der Regel unverhältnismäßig hohen Aufwandes für die Einholung einer informierten, transparenten und freiwilligen Einwilligung praktisch nicht in Betracht. In dem Falle müsste es auch Lösungen geben für diejenigen, die einer Verarbeitung durch US-Dienstleister nicht zustimmen.

 

Wir empfehlen daher folgende Schritte:

  1. Ermitteln Sie alle Dienstleister und Services aus den USA, bei denen personenbezogene Daten verarbeitet werden. Sofern möglich, wählen Sie beim Anbieter eine Speicherung Ihrer Daten in der EU.
  2. Prüfen Sie, ob eine „Privacy Shield“-Zertifizierung Grundlage des angemessenen Datenschutzniveaus ist oder ob die EU-Standardvertragsklauseln vertraglich vereinbart worden sind.
  3. Wenn die Basis nur das „Privacy Shield“ ist, sollten Sie prüfen, ob Sie auf den Dienstleister verzichten können. Das EuGH-Urteil bietet hier ggf. die Möglichkeit einer fristlosen Kündigung.
  4. Wenn ein Verzicht auf den Dienstleister nicht in Frage kommt, dann schreiben Sie ihn an und weisen auf das EuGH-Urteil hin. Fragen Sie nach, welche Lösungen der Anbieter treffen wird oder ob kurzfristig der Abschluss der EU-Standardvertragsklauseln möglich ist.
  5. Wenn der Dienstleister nicht bereit sein sollte die EU-Standardvertragsklauseln mit Ihnen abzuschließen, sollte der Dienstleister nach Möglichkeit nicht mehr eingesetzt werden.
  6. In bestimmten Fällen bleibt dann nur die Möglichkeit, auf in Art. 49 DSGVO enthaltene Ausnahmen zurückzugreifen. Das ist jedoch nur als absoluter Notnagel in Betracht zu ziehen, denn die Aufsichtsbehörden bewerten hier sehr restriktiv. Das wäre aber immer noch besser als keine Lösung.
  7. Anpassung der Datenschutzerklärung hinsichtlich der „neuen“ Rechtsgrundlagen für die entsprechenden Datenübermittlungen.

Das ist sicherlich Aufwand, der jetzt aber wohl angegangen werden muss. Es herrscht mal wieder völlige Rechtsunsicherheit und niemand weiß, wie lange das so bleibt.

Eine völlige Abkehr von US-Clouddiensten erscheint mangels entsprechender europäischer Alternativen zu vielen Diensten in den USA nicht wirklich umsetzbar. Zu groß ist die Abhängigkeit der Unternehmen von einzelnen und oftmals innovativen Diensten von US-Anbietern. Europäische Alternativen sind oftmals schlicht nicht vorhanden.

Es bleibt zu hoffen, dass die Aufsichtsbehörden zeitnah für alle Beteiligten eine angemessene Lösung schaffen. Bis dahin können wir nur wärmstens empfehlen, die oben genannten Schritte durchzuarbeiten und sich bestmöglich aufzustellen.

Blog Archiv

Sie haben Fragen?

Sprechen Sie uns gerne an!

Bösen & Heinke GmbH & Co. KG
Karl-Benz-Straße 9
40764 Langenfeld
Tel.:  +49 (0) 2173 10907-0
Fax:  +49 (0) 2173 10907-77

Niederlassung Hamburg
Überseeallee 1
20457 Hamburg
Tel. +49 (0) 40 226391133

E-Mail: info(at)buh.com

Kundenbewertung

Nihat KemalogluNihat Kemaloglu
18:01 08 Aug 23
Ralf UllrichRalf Ullrich
17:56 08 Aug 23
Ich kenne Bösen & Heinke als Top IT-Dienstleister der immer erst geht, wenn das Problem gelöst ist. Lösungen werden so verständlich erklärt, dass man es auch dann versteht, wenn man kein IT-Experte ist. Wann immer es möglich war wurde sehr kurzfristig geholfen.Ralf Heinke hat von 2000 bis 2008 unsere Warenwirtschaft (Sage Classic Line) und unser kleines Netzwerk betreut.Dann habe ich den Arbeitgeber gewechselt und unsere Wege haben sich getrennt. aber wer weiß, vielleicht kreuzen sich unsere Wege noch einmal, denn aktuell denkt mein jetziges Unternehmen über einen Wechsel des ERP-Systems nach. Würde mich freuen. Wie heißt es so schön: „Man sieht sich immer zweimal im Leben.“
Marco SchauerMarco Schauer
09:41 14 Mar 23
Der Sage Partner Bösen & Heinke ist für uns nicht nur ein toller Vertriebspartner für unsere Shopware Schnittstelle, sondern stellt zudem auch für unsere Schnittstellenkunden sehr nützliche Tools, wie einen Rechnungsexport zur Verfügung.Die Zusammenarbeit mit dem Team von Bösen & Heinke sorgt immer wieder für perfekt durchgeführte Projekte und zufriedene Kunden.
Stefan SchulzStefan Schulz
14:37 07 Jul 22
Sascha BreitheckerSascha Breithecker
20:36 03 Feb 22
Super Support!Uneingeschränkt empfehlenswert!
Christian ZanderChristian Zander
08:20 03 Feb 22
Wir arbeiten seit vielen Jahren in verschiedenen Projekten mit BuH zusammen. Die Zusammenarbeit lief immer hervorragend. Kann ich nur weiterempfehlen!!!
Nina MühligNina Mühlig
13:39 06 Aug 20
Darja UriDarja Uri
06:17 23 Aug 19
Mehr Bewertungen
js_loader