+492173109070 info@buh.com

Das EU-US Privacy Shield ist unzulässig – Datenübermittlung in die USA

Vergangenen Donnerstag hat der EuGH das sog. „EU-US Privacy Shield“ der EU-Kommission für unwirksam erklärt.

Daraus resultiert, dass eine Datenübermittlung in die USA, z.B. durch Nutzung von US-Dienstleistern oder US-Cloud Ressourcen, nicht mehr durch das Privacy Shield legitimiert werden kann, es fehlt schlichtweg die Rechtsgrundlage für eine Übermittlung. Eine weiter andauernde Übermittlung wäre rechtswidrig und damit potenziell empfindlichen Bußgeldern ausgesetzt.

Auch wenn man nun nicht von heute auf morgen alle US-Cloud Dienste verlassen oder deren Nutzung einstellen kann, darf man nicht völlig untätig bleiben. Zügiges Handeln ist wohl angebracht, um diese Datenverarbeitungen entweder sofort einzustellen oder auf rechtlich andere „Füße“ zu stellen.

Eine Alternative zum EU-US Privacy Shield sind die sog. EU Standardvertragsklauseln, die mit den jeweiligen Anbietern geschlossen werden könnten.

Kurzfristig ist dies sicher eine gute Möglichkeit, die Datenverarbeitung auf eine legitimen Rechtsgrundlage zu stützen, aber als Dauerlösung taugt dies wohl eher nicht.

Denn die Voraussetzung zur Wirksamkeit der EU-Standardvertragsklauseln ist, dass bei der Übermittlung personenbezogener Daten das vom Unionsrecht verlangte Schutzniveau eingehalten wird. 

Ob das aufgrund der US-Gesetze überhaupt möglich ist, muss Stand jetzt bezweifelt werden. Sicherheitsgesetze in den USA, wie der Foreign Intelligence Surveillance Act (FISA) 702 oder der sog. US CLOUD Act, die den US-Sicherheitsbehörden erlauben, ohne richterlichen Beschluss Zugriff auf personenbezogene Daten zu nehmen, stehen nicht im Einklang mit dem geforderten Schutzniveau der EU-Kommission. 

Somit wird auch die Verwendung der EU-Standardvertragsklauseln im Falle der USA in vielen Fällen dazu führen, dass Aufsichtsbehörden bei einer Prüfung die jeweilige Datenverarbeitung als unzulässig einschätzen und ahnden können, solange nicht die USA bessere Rechtsschutzmöglichkeiten gegen staatliche Überwachung einräumen. Letzteres ist aber nicht in naher Zukunft zu erwarten.

WICHTIG: Die EU-Standardvertragsklauseln können nur zwischen dem Verantwortlichen und dem Datenempfänger geschlossen werden. Der Auftragnehmer des Verantwortlichen hat also keine Möglichkeit, die EU-Standardvertragsklauseln auf seine Unterauftragnehmer anzuwenden.

Ein Beispiel: Sie beauftragen einen Dienstleister in Deutschland, der seine Daten wiederum auf einem Server in den USA speichert. So kann der in Deutschland ansässige Dienstleister keine Standardvertragsklauseln mit dem US-Anbieter abschließen, die Ihre Auftragsverarbeitung abdeckt.
Das macht es vor allem für Auftragsverarbeiter, die US-Dienstleister als Unterauftragnehmer für ihre Leistungen einsetzen, sehr schwierig, diese Dienste überhaupt weiter zu nutzen. 

Als weitere Rechtsgrundlage käme auch die Einwilligung der Betroffenen grundsätzlich in Frage. Allerdings sollte dies aufgrund des in der Regel unverhältnismäßig hohen Aufwandes für die Einholung einer informierten, transparenten und freiwilligen Einwilligung praktisch nicht in Betracht. In dem Falle müsste es auch Lösungen geben für diejenigen, die einer Verarbeitung durch US-Dienstleister nicht zustimmen. 

Wir empfehlen daher folgende Schritte:

  1. Ermitteln Sie alle Dienstleister und Services aus den USA, bei denen personenbezogene Daten verarbeitet werden. Sofern möglich, wählen Sie beim Anbieter eine Speicherung Ihrer Daten in der EU.
  2. Prüfen Sie, ob eine „Privacy Shield“-Zertifizierung Grundlage des angemessenen Datenschutzniveaus ist oder ob die EU-Standardvertragsklauseln vertraglich vereinbart worden sind.
  3. Wenn die Basis nur das „Privacy Shield“ ist, sollten Sie prüfen, ob Sie auf den Dienstleister verzichten können. Das EuGH-Urteil bietet hier ggf. die Möglichkeit einer fristlosen Kündigung.
  4. Wenn ein Verzicht auf den Dienstleister nicht in Frage kommt, dann schreiben Sie ihn an und weisen auf das EuGH-Urteil hin. Fragen Sie nach, welche Lösungen der Anbieter treffen wird oder ob kurzfristig der Abschluss der EU-Standardvertragsklauseln möglich ist.
  5. Wenn der Dienstleister nicht bereit sein sollte die EU-Standardvertragsklauseln mit Ihnen abzuschließen, sollte der Dienstleister nach Möglichkeit nicht mehr eingesetzt werden.
  6. In bestimmten Fällen bleibt dann nur die Möglichkeit, auf in Art. 49 DSGVO enthaltene Ausnahmen zurückzugreifen. Das ist jedoch nur als absoluter Notnagel in Betracht zu ziehen, denn die Aufsichtsbehörden bewerten hier sehr restriktiv. Das wäre aber immer noch besser als keine Lösung.
  7. Anpassung der Datenschutzerklärung hinsichtlich der „neuen“ Rechtsgrundlagen für die entsprechenden Datenübermittlungen.

Das ist sicherlich Aufwand, der jetzt aber wohl angegangen werden muss. Es herrscht mal wieder völlige Rechtsunsicherheit und niemand weiß, wie lange das so bleibt.

Eine völlige Abkehr von US-Clouddiensten erscheint mangels entsprechender europäischer Alternativen zu vielen Diensten in den USA nicht wirklich umsetzbar. Zu groß ist die Abhängigkeit der Unternehmen von einzelnen und oftmals innovativen Diensten von US-Anbietern. Europäische Alternativen sind oftmals schlicht nicht vorhanden.

Es bleibt zu hoffen, dass die Aufsichtsbehörden zeitnah für alle Beteiligten eine angemessene Lösung schaffen. Bis dahin können wir nur wärmstens empfehlen, die oben genannten Schritte durchzuarbeiten und sich bestmöglich aufzustellen.

Sie haben Fragen?

Dann sprechen Sie uns gerne an!

Bösen & Heinke GmbH & Co. KG
Karl-Benz-Straße 9
40764 Langenfeld

Telefon:  +49 (0) 2173 10907-0
Telefax:  +49 (0) 2173 10907-77

Internet: www.buh.com
E-Mail-Kontakt: info@buh.com

Angebote von Bösen & Heinke GmbH & Co. KG

Maßgeschneiderte Wartungsverträge

Ein IT-Wartungsvertrag gibt Ihnen die Sicherheit, Ausfälle zu minimieren. Nur durch regelmäßige Wartung können mögliche Fehlerquellen rechtzeitig identifiziert und beseitigt werden.

Sie wünschen sich einfach zu verstehende und transparente IT-Wartungsverträge? Sprechen Sie uns gern an unter 02173 10907-0

Mehr erfahren

Sage ERP Lösung

Mit dem ERP-System Sage 100 erhalten Sie eine flexible Software, die beide Varianten – lokal und Cloud – erlaubt und mit ihren einzelnen Modulen alle Bereiche Ihres Unternehmens abdeckt.

Mehr erfahren

Auerswald Telefonanlagen

Als autorisierter Partner der Firma Auerswald bieten wir Ihnen Telefonanlagen, die perfekt auf Ihr Unternehmen zugeschnitten sind. Von der klassischen analogen/ISDN-Anlage bis hin zur hochkomplexen VoIP-Anlage gibt es für jedes Szenario eine passende Lösung.

Mehr erfahren