Anzeige

Privacy Shield

Europa ist die Heimat des Datenschutzes und von Menschen, die sich dessen bewusst sind. Anders die Vereinigten Staaten. Hier ist die Gesetzgebung ungleich disparater, und sie hinkt der europäischen Datenschutzgesetzgebung in vielen Fällen hinterher. Für Unternehmen ist das seit Jahren ein Problem.

Die jüngste Entscheidung des Europäischen Gerichtshofs macht die Sache erneut komplizierter. Am 16. Juli 2020 hat sich das Datenschutzabkommen zwischen den USA und der Europäischen Union geändert. Datenschutzbestimmungen, die im EU-US Privacy Shield verankert waren, wurden für ungültig erklärt.  Nicht aufgrund von Bedenken gegen das Abkommen als solches, sondern weil US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) eine Massenüberwachung gestatten und Europäer keine Klageberechtigung vor einigen Gerichten haben. 

Was heißt „für ungültig erklärt“? Der Oberste Gerichtshof Europas, der Europäische Gerichtshof (EuGH), erklärte das als EU-US Privacy Shield bezeichnete Rechtsinstrumentarium für ungültig. Es handelte sich um die Rechtssache C-311/18, oft auch als Urteil oder Entscheidung „Schrems II“ bezeichnet nach dem Namen des österreichischen Juristen und Datenschutzaktivisten Max Schrems (Schrems I hat zuvor schon US Safe Harbor-Abkommen für ungültig erklärt). Mit anderen Worten, hier wird die Datenschutz-Grundverordnung (DSGVO), auch (EU) 2016/679, nicht erfüllt.  

Was heißt das konkret?

In der Rechtssache Schrems II ist gerade das Urteil ergangen, und es hat den herkömmlichen Schutzrahmen, der für die Übertragung personenbezogener Daten zwischen den Vereinigten Staaten und der Europäischen Union gegolten hat, außer Kraft gesetzt und für ungültig erklärt. Das gilt jedoch nicht für die herkömmlichen Standardvertragsklauseln (SCCs), das bevorzugte Datenschutzsystem hinsichtlich der Datenübertragung. 

Unternehmen in den Vereinigten Staaten könnten sich entscheiden:

  1. den EU-US-Datentransfer zu stoppen,
  2. die Geschäftstätigkeit in der EU einzustellen,
  3. auf SCCs umstellen und Privacy Shield zu wahren,
  4. auf Standardvertragsklauseln (SCCs) umstellen.

Nummer 1, den EU-US-Datentransfer stoppen. Das hieße, dass personenbezogene Daten von EU-Bürgern in den USA nicht verarbeitet, übertragen oder gespeichert werden. Hier sprechen wir aber nicht von EU-Kunden, sondern von EU-Bürgern. Ein nicht ganz unwichtiger Unterschied, wenn Firmen mit EU-Bürgern als Angestellten oder Auftragnehmern arbeiten oder Geschäftsvereinbarungen getroffen haben. Selbst dann, wenn man den grenzüberschreitenden Datentransfer beschränkt, kann das Ganze beliebig kompliziert werden. Umso mehr, da auch die Definition dessen, was unter die aktuelle Definition personenbezogener Daten fällt, sich ständig wandelt. 

Die zweite Möglichkeit, die Geschäftstätigkeit in der EU einzustellen, hätte massive Auswirkungen. Es kommt natürlich vor, dass ein Unternehmen sich nicht auf eine Geschäftstätigkeit innerhalb der EU konzentriert. Das grundsätzlich auszuschließen, wäre aber wohl eher eine vorübergehende Maßnahme, um richtlinienkonform zu bleiben. Die Frage ist, ob ein Unternehmen, das sich selbst nach Privacy Shield zertifiziert hat, umgehend reagieren und die Übertragung von Daten sofort unterbinden müsste. Zumindest bis zu einem Wechsel zu SCCs als geltendem (und akzeptiertem) Rahmen. Das wäre juristisch zwar nicht falsch, aber für die Geschäftstätigkeit nicht eben förderlich. Es gehört zu den kleinen, schmutzigen Geheimnissen bei Risikomanagement und Compliance, dass die ungehinderte Geschäftstätigkeit nicht selten Vorrang vor der Richtlinienkonformität hat. Welche Maßnahmen man ergreifen will und wie drastisch sie dann letzten Endes ausfallen, müssen interne Datenschutzteams entscheiden. 

Die dritte Option ist ganz anders gelagert: ein Umstieg auf SCCs und die Wahrung von Privacy Shield. Privacy Shield wurde für die EU aufgehoben. Es wurde keine Dokumentation zu einem schweizerisch-amerikanischen Privacy Shield veröffentlicht. Im Moment ist diese Option wahrscheinlich kein schlechter Weg. Schon weil es nicht ganz so einfach ist, sich vom Privacy Shield zu trennen. Privacy Shield schreibt immer noch vor, dass, wer sich nach diesen Vorgaben zertifiziert hat, auch demgemäß überprüft wird. Auf der Privacy Shield-Website heißt es: "...Diese Entscheidung entbindet die Teilnehmer des EU-U.S. Privacy Shield-Programms nicht von ihren Verpflichtungen im Rahmen des EU-U.S. Privacy Shield-Rahmens... "

Bleibt noch die vierte Option, auf Standardvertragsklauseln (SCCs) umzustellen. Hier hätten Unternehmen ansetzen sollen. Privacy Shield wurde von Datenschutzexperten hinlänglich kritisiert. Eine Umstellung auf SCCs ist jedoch nichts, was sich schnell implementieren lässt. Man braucht sehr genaue Informationen dazu, was wie übertragen und somit Gegenstand der Vertragsklauseln wird. Und man ist zwingend an die vorgegebene Wortwahl gebunden. Die ist ziemlich eingeschränkt und etwas antiquiert. Trotzdem ist es ein gangbarer Weg und derzeit vermutlich der empfehlenswerte. 

Warum wurde Privacy Shield gekippt?

Im Wesentlichen aus drei Gründen: Der Foreign Intelligence Surveillance Act („FISA“), die Executive Order 12333 und die Presidential Policy Directive 28 stellen die Gültigkeit der Datenschutzvereinbarungen in Frage. Die FISA ist eine Art geheimes Gerichtssystem für den Umgang mit Terroristen und Agenten ausländischer Mächte und wird ständig aktualisiert. Die Executive Order 12333 wiederum hält Bundesbehörden dazu an, die CIA bei der Informationsabfrage zu unterstützen. Auch diese Order wurde mehrfach aktualisiert. Bei der Directive 28 geht es um Fernmelde- und elektronische Aufklärung (Signal Intelligence) und das Sammeln digitaler Informationen. 

Worin besteht der Unterschied zwischen Standardvertragsklauseln und Privacy Shield?

Privacy Shield war eine Standardvertragsklausel, die Unternehmen mit einer entsprechenden Selbstzertifizierung einhalten mussten. Dazu zählen verschiedene Mechanismen zum Schutz der Privatsphäre von Personen. Standardvertragsklauseln sind Klauseln, die in einen Vertrag zwischen einem Verarbeiter und einem für die Verarbeitung Verantwortlichen oder zwischen mehreren für die Verarbeitung Verantwortlichen aufgenommen werden, und die sich darauf konzentrieren, wie private oder personenbezogene Daten innerhalb eines Unternehmens gehandhabt werden. 

Was passiert, wenn Standardvertragsklauseln bereits verwendet werden?

Es gibt auch eine gute Nachricht. Datenschutzexperten haben Unternehmen schon immer geraten, Standardvertragsklauseln zu verwenden, und die gelten weiterhin.  Dabei handelt es sich um genehmigte Klauseln, die sich auf den Datenschutz konzentrieren und die beim EU-US (oder EU-irgendwohin) -Transfer personenbezogener Daten nach Möglichkeit in die Vereinbarungen aufgenommen werden sollten. Man sollte sich die verwendeten Klauseln gerade jetzt noch einmal sehr genau ansehen und überprüfen, ob es Lücken gibt, die sich vielleicht erst in Zukunft auswirken. Firmen sollten sicherstellen, dass die verwendeten Bedingungen auf dem neuesten Stand sind. Darüber informiert die Website der EU. Die Klauseln müssen zudem jegliche Veränderung abbilden. Wenn die gesammelten Daten anders als bisher verwendet werden oder es sich um eine andere Art von Daten handelt, müssen die Klauseln aktualisiert werden, bevor man Änderungen umsetzen kann.  

Und dann ist da noch Covid-19...

Hier stellt sich die beängstigende Frage, wie sich das Urteil auf die Forschung auswirkt. Ob und wie das der Fall ist, hängt davon ab, wie die forschenden Unternehmen ihre Verträge über den Datentransfer gestaltet haben. Nach dem Scheitern von Safe Harbor war es unter Umständen nicht die beste Entscheidung auf EU-US Privacy Shield zu setzen. Firmen, die es sich in der Vergangenheit möglicherweise zu einfach gemacht haben, müssen die notwendigen Anpassungen schnell umsetzen, wenn sie die Forschungsarbeit nicht unnötig gefährden wollen. Was die Bekämpfung von Covid-19 angeht, wurden und werden unglaubliche Mengen an Daten ausgetauscht. Diesen Austausch zu stoppen, war sicherlich nicht das Ziel bei der Entscheidung des Europäischen Gerichtshofs. Wenn ein Unternehmen aktiv an der Bekämpfung der Pandemie arbeitet, sollte es Standardvertragsklauseln zügig implementieren, um dahingehend auf der sicheren Seite zu sein. 

Fazit

Die Datenschutzgesetze haben sich geändert und ebenso wie Art und Weise, wie Daten zwischen der Europäischen Union und den Vereinigten Staaten übertragen werden. Ein Grund zur Panik? Nein, kein Grund zur Panik. War eine Entscheidung vorhersehbar? Ja. Das war sie. Was allerdings seltsam anmutet ist, dass die größte Sorge einer Änderung der Standardvertragsklauseln galt. Genau die ist aber (zumindest noch) nicht eingetreten. 

Eine der Herausforderungen der EU besteht darin, dass, während die US-Regierung durchaus einige Probleme mit dem Datenschutz hat, viele andere Regierungen deutlich weniger auf den Datenschutz bedacht sind. Einige Länder haben kein echtes Recht auf Privatsphäre. Eines unterscheidet die Vereinigten Staaten dahingehend allerdings von vielen anderen Ländern. Zum einen haben einige der größten datenbasierten Unternehmen ihren Sitz außerhalb der USA, zum anderen unterhalten die USA engere Beziehungen zu Europa als zu anderen Nationen. Und damit sind höhere Erwartungen an den Datenschutz europäischer Bürger geknüpft.

Letztendlich müssen Unternehmen mit allen Änderungen der Datenschutzbestimmungen Schritt halten, wo immer sie geschäftlich tätig sind. Für viele ist es höchste Zeit, Standardvertragsklauseln einzuführen. Sie sollten aber auch nicht in Panik geraten oder sich zwanghaft fragen, was als nächstes kommt. Es ist an der Zeit Verträge zu überprüfen, zu aktualisieren und die geschäftliche Tätigkeit ungehindert aufrechtzuerhalten.

Robert Meyers, Compliance- und Datenschutzexperte
Robert Meyers
Compliance- und Datenschutzexperte, One Identity
Robert Meyers ist  Compliance- und Datenschutzprofi und Channel Program Solutions Architect bei One Identity. Seit 30 Jahren beschäftigt er sich mit Identity und Access Management sowie Informationssicherheit. Seit mehr als 10 Jahren konzentriert er sich auf die Planung, Unterstützung und Verwaltung von Datenschutzprogrammen wie FERPA, HIPAA, GDPR und CCPA. Er führte federführend fast hundert Fusionen und Übernahmen durch. Robert spricht regelmäßig bei Veranstaltungen über Datenschutzthemen. Zu seinen umfangreichen Zertifizierungen gehören IAPP Fellow of Information Privacy, CIPP / E, CIPT und ISACA CISM.

Artikel zu diesem Thema

Corona
Jul 25, 2020

Corona – und der Datenschutz hat Pause?

Die aktuelle Corona-Pandemie hat auch auf die E-Mail-Kommunikation erhebliche…
EU- und US-Flaggen
Jul 19, 2020

Privacy Shield adé – jetzt es ist wirklich Zeit umzudenken!

Ein Kommentar von Hans Franzl, Geschäftsführer der Münchner brainworks Computer GmbH. Er…

Weitere Artikel

Cloud Computing

Eine Frage der Prioritäten: Datenschutz in Cloud-Umgebungen

In Folge der Pandemiebestimmungen scheint sich der Homeoffice-Betrieb zu einer festen organisatorischen Säule in Unternehmen zu etablieren.
Datensicherheit

Immer mehr Meetings: Deshalb ist Datensicherheit wichtig

Zoom, Teams, Skype und Co. – Videokonferenzen sind spätestens seit 2020 integraler Bestandteil des Berufsalltags geworden. Doch bereits vor Ausbruch der Pandemie waren virtuelle Meetings beliebt.
EMail

BIMI-Standard: Entrust kündigt Verfügbarkeit von Verified Mark-Zertifikaten an

Entrust, Anbieter im Bereich vertrauenswürdige Identitäten, Zahlungen und Datenschutz, gibt die allgemeine Verfügbarkeit seiner Verified Mark Zertifikate (VMCs) zur Unterstützung des „Brand Indicators for Message Identification (BIMI)“-Standards für starke…

Privacy by Design einmal ganz konkret

Die DSGVO schreibt Privacy by Design für die Software-Entwicklung vor. Sie ist jedoch bei der Konkretisierung dessen, was Privacy by Design denn nun genau bedeutet, sehr vage.
Datenschutz

Ein Jahr Ende des Privacy Shields – Wie geht es jetzt weiter?

Ein Jahr ist es her, dass der Europäische Gerichtshof den sogenannten EU-US-Privacy Shield (auch EU-US-Datenschutzschild) für ungültig erklärte. Die Absprache war 2016 ausgehandelt worden und diente als Grundlage für den kommerziellen Datenaustausch…
Microsoft Office

Microsoft Office datenschutzkonform nutzen

Es ist kein Geheimnis: Bei der Nutzung von Microsoft Office werden die Daten in der Cloud gespeichert. Das ist wegen US Cloud Act und Schrems-II-Urteil datenschutzrechtlich problematisch. ownCloud erläutert, wie es eingesetzt werden kann, ohne gegen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.