EU-US Privacy Shield – was nun?

Bereits im Jahr 2000 hatte sich die Europäische Kommission beraten und entschieden, dass der vom US-Handelsministerium erstellte Rahmen den europäischen Datenschutzstandards entspricht – Safe Harbor war geboren. Zum damaligen Zeitpunkt funktionierte der Beschluss recht gut.

Ungefähr 4.000 globale Organisationen haben sich bei ihren Geschäftsabwicklungen und beim Austausch von Daten weltweit auf den Rahmen von Safe Harbor verlassen. Insbesondere beim Datenaustausch zwischen Niederlassungen in der EU und den USA. Rund 15 Jahre später allerdings zeigt sich der Österreicher Max Schrems äußerst verärgert darüber, dass das Social-Media-Unternehmen Facebook seine Daten in die USA und folglich (im Rahmen des PRISM-Programms) an die National Security Agency überträgt. 2015 erringt Schrems einen juristischen Sieg gegen Facebook. Safe Harbor wird für null und nichtig erklärt. Doch wie sollten die besagten rund 4.000 Unternehmen und unzählige weitere jetzt Daten verschieben, die sie nach wie vor austauschen müssen?

Anzeige

Anfang des darauffolgenden Jahres setzen sich die USA und die EU-Kommission erneut zusammen, um an einem neuen, verbesserten Rahmen zu arbeiten. EU-US Privacy Shield wird beschlossen. Der Swiss-US Privacy Shield folgt kurze Zeit später. Anfangs waren die Hoffnungen groß, dass dieses neue Programm alle Datenschutzbedenken berücksichtigt. Allerdings keimte recht bald Unsicherheit auf, ob es wirklich so langlebig sein würde. Über 5.000 Unternehmen hatten da bereits Zeit, Geld und Ressourcen in die Privacy-Shield-Zertifizierung investiert. Verständlicherweise schrillten bei diesen Firmen sämtliche Alarmglocken, und nicht wenige fühlten sich in die Zeiten des Safe-Harbor-Fiaskos zurückversetzt. Nur vier kurze Jahre später war es soweit. Am 16. Juli 2020, entschied der EU-Gerichtshof (EuGH) erneut zugunsten von Schrems und erklärte Privacy Shield für die Übertragung von Daten in die USA als ungültig. Das Urteil wurde sofort wirksam, Unternehmen hatten keine Übergangsfristen. Naturgemäß hat das Urteil für einige Verwirrung gesorgt, was genau jetzt zu tun sei. Gleichzeitig suchen Unternehmen nach passenden Schutzmaßnahmen, die dann auch noch umgesetzt werden müssen. 

Doch bevor wir uns mit der Zukunft und mit dem, was uns derzeit zur Verfügung steht, befassen, wollen wir uns kurz ansehen, was die Aufhebung der beiden vorherigen Rahmenwerke verursacht hat. Das trägt dazu bei, eine geeignete Lösung zu finden und bewahrt uns hoffentlich davor, für dieselben Schwächen anfällig zu sein.

Safe Harbor wurde hauptsächlich wegen der US-Sicherheitsbehörden annulliert. Die erlaubten es angemeldeten Unternehmen, Daten mit den Behörden zu teilen, die selbst nicht Teilnehmer des Programms waren und somit auch nicht den damit verbundenen Schutzmaßnahmen unterlagen. 

Es gab keinerlei Maßnahmen, mit denen man hätte nachweisen können (auf welche Art und Weise auch immer), dass die Daten, die dort landeten, angemessen geschützt bleiben. Eine unüberwindbare Hürde. Es waren ganz ähnliche Fehler, die Privacy Shield zu Fall gebracht haben. Der EuGH kam zu dem Schluss, dass der Rahmen die Bedürfnisse der US-Sicherheitsbehörden über die Bedürfnisse der betroffenen Datensubjekte, also der Bürger aus Europa gestellt hat. Es stellt sich die Frage: Können EU-Organisationen in unserer Welt des Internets und globaler Konnektivität dann überhaupt noch Daten in die USA übertragen?

Im jüngsten Urteil vom Juli dieses Jahres lehnen die Richter eine weitere Causa Schrems ab, wonach neben Privacy Shield auch die Standardvertragsklauseln (Standard Contractual Clauses, SCCs) ungültig werden sollten. 

Diese SCCs sind quasi Ihr Ticket für transatlantische Datenübertragungen. Wenn ein in der EU ansässiges Unternehmen von all dem nicht betroffen sein will, wäre es das einfachste, die Datenflüsse so umzustrukturieren, dass keine Daten an einen in den USA ansässigen Betrieb gesendet werden. Je nach dem wie Prozesse und Verfahren verankert sind, kann sich das als (zu) schwierig erweisen. Werfen wir deshalb einen Blick darauf, ob und wie SCCs nach derzeitigem Stand der Dinge helfen können. 

Die USA sind jetzt, wie viele andere Regionen auch, ein sogenanntes „Drittland“ (also ein Ort, dessen innerstaatliche Datenschutzgesetze nicht bedeutender oder gleichbedeutend mit denen der EU sind). Wie bei jedem Transfer von der EU in ein Drittland können Sie sich zumindest auf absehbare Zeit weiterhin auf SCCs verlassen. Datenexporteure müssen jetzt vor jeder Übertragung nachweisen, dass diese Daten genauso geschützt sind wie innerhalb der EU. Wenn Sie sich in der Vergangenheit bei anderen Übertragungen bereits auf SCCs verlassen haben, ist das für Sie nichts Außergewöhnliches. Für den, der keine Erfahrung mit SCCs gesammelt und sich ausschließlich auf Safe Harbor/Privacy Shield verlassen hat, für den wirkt dieser Bereich anfangs sehr unübersichtlich. Angesichts der Urteilsbegründung für beide Aufhebungen (die Befugnisse der US-Überwachung), ist der Nachweis eines angemessenen Schutzniveaus keine ganz geringe Herausforderung.

Apropos Drittländer: Auch Großbritannien wird nach dem Dezember 2020 auf dieser Liste stehen. Jedenfalls, wenn bis dahin keine Angemessenheitsentscheidung getroffen wird. Nach dem Austritt aus der EU will das Vereinigte Königreich weiterhin in der Lage sein, Daten genau so wie heute sowohl in die USA als auch in die EU zu übertragen – nämlich ungehindert. Allerdings gilt im Vereinigten Königreich ein Gesetz zur Sicherheitsüberwachung (der Investigatory Powers Act 2016), das den Regelungen der USA nicht unähnlich ist. Können für das Vereinigte Königreich wirklich andere Standards gelten als für die USA? Natürlich nicht. Berücksichtigt man dazu den Wunsch des Vereinigten Königreiches, auch die Datenbeziehungen zu den USA aufrechtzuerhalten, ist es nur schwer zu rechtfertigen, das Land zusätzlich mit „Angemessenheit“ zu belohnen. Als Drittland zu gelten, würde bedeuten, dass jeder in der EU ansässige Betrieb, der mit dem Vereinigten Königreich Handel betreiben (also Daten dorthin übertragen) will, SCCs implementieren müsste. Erst die Zeit wird zeigen, ob das zu einer schwerwiegenden zusätzlichen Hürde werden wird. Allerdings steht heute schon fest, dass die Dinge dadurch weder einfacher noch effizienter werden.

Wo kommen die SCCs ins Spiel und was zeichnet sie aus? SCCs sind standardmäßige, nicht verhandelbare Bedingungen und Pflichten, die beiden Parteien auferlegt werden und den Schutz der Daten gewährleisten. Dem Daten-Exporteur kann versichert werden, dass der Importeur diesen Daten den gleichen Schutz gewährt, als hätten sie den EWR nie verlassen. Dies ist ein kritisches Unterscheidungs-merkmal beim Umgang mit Betreibern in Drittländern. Die Verpflichtungen stehen im Einklang mit der DSGVO, sodass Ihr Datenimporteur die Einhaltung effektiv erzwingt, unabhängig davon, ob sie aufgrund der auferlegten Verpflichtungen und Verantwortlichkeiten von Natur aus in Kraft sind oder nicht.

SCCs haben allerdings einige Einschränkungen, die es zu beachten gilt, wenn man sie als Rechtsgrundlage verwenden will. Insbesondere muss man beachten wohin die Daten übertragen werden. Der EuGH hat klargestellt, dass SCCs nicht als angemessen angesehen werden, wenn ein innerstaatliches Gesetz es Behörden oder Sicherheitsdiensten erlaubt, in die Rechte betroffener Personen einzugreifen. Da diese Regelung nicht nur für die USA, sondern für jedes Drittland gilt, muss man sie unbedingt berücksichtigen. 

Aber es gibt noch eine weitere Option.

Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, kurz BCRs genannt) zeigen an, dass ein unternehmensweites Engagement für Datenschutzgrundsätze, -strategien und -umsetzungen besteht. Obwohl sie denselben Problemen wie SCCs unterliegen, nämlich der Intervention durch Regierungsbehörden, begegnet man ihnen allgemein wohlwollend. Das ist angesichts der bekannten strengen Kriterien und der hohen Schwellenwerte, die für eine Auszeichnung und Akkreditierung von BCRs nötig sind, nicht überraschend. 

Vorerst sind BCRs oder SCCs für Unternehmen wohl der beste Weg, wenn Sie Daten in die USA oder in ein anderes Drittland übertragen wollen. Ich vermute jedoch, dass BCRs für die überwiegende Mehrheit der Unternehmen, die dieser Anforderung unterliegen, unerreichbar bleiben. 

Das gilt in Bezug auf Ressourcen, aber auch hinsichtlich der verfügbaren Budgets. 

Als dieser Text verfasst wurde, ging man von einer Zeitspanne von ungefähr 18 bis 24 Monate aus, um BCRs durchzusetzen. Das wird meines Erachtens nach viel zu spät sein. Unternehmen brauchen jetzt gangbare Lösungen. Alles in allem werden SCCs für die meisten Organisationen den gewünschten Zweck erfüllen. Bis die Europäische Kommission in Abstimmung mit allen lokalen Datenschutzbehörden einen neuen und verbesserten SCC-Rahmen ausarbeitet hat, sind sie die sicherste Option. Was die Möglichkeit eines „Privacy Shield v2.0“ angeht, gibt es nach zweimaligen Scheitern des Konzepts verständlicherweise Bedenken, diesen Weg erneut einzuschlagen. Die dazu notwendigen Ergänzungen und Änderungen, würden ohnehin ebenfalls zu überarbeiteten SCCs führen. 

Macht der Vorschlag eines solch geänderten Rahmenwerks also überhaupt Sinn? Die aktuelle Situation im Zusammenhang mit der COVID-19-Pandemie wirft viele Fragen auf: Wie werden Daten verwendet und wohin werden sie geschickt? Natürlich sind die Staats- und Regierungschefs der Welt daran interessiert, die Pandemie einzudämmen, und die Öffentlichkeit wird alles in ihrer Macht Stehende tun, um dies zu unterstützen. Aber man darf dabei das Thema Datenschutz nicht pauschal beiseiteschieben. Man muss ein Gleichgewicht finden, Infektionsraten und die Ausbreitung des Virus zu überwachen und zu bekämpfen, während der alles entscheidende Schutz für sensible personenbezogene Daten gewährleistet bleibt. Die Frage ist noch offen, ob wir jetzt einen exponentiellen Anstieg beim Einsatz von Pseudonymisierungstechnologien beobachten werden…

Hancock Richard

GlobalSign -

Data Privacy Officer

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.