Rechtskonforme Übertragung personenbezogener Daten an US-amerikanische Unternehmen nur mehr in Einzelfällen möglich

Es ging durch alle Medien: Der Europäische Gerichtshof (EUGH) hat am 16. Juli 2020 ohne Übergangsfrist (!) das Privacy Shield Abkommen zwischen der EU und den USA aufgehoben, dieses von Beginn an ein wenig wackelige Abkommen, das den Austausch personenbezogener Daten seit 2016 geregelt hatte.
Damit stellt sich die Frage: wie geht man als Unternehmen oder Organisation mit dieser Situation um?
Um diese Frage zu beantworten, erstmal ein paar Basics:

Privacy Shield Abkommen – was ist das?

Grundsätzlich geht es darum, dass personenbezogene Daten von europäischen Unternehmen/Organisationen nur unter Einhaltung aller Vorgaben der DSGVO und der nationalen Datenschutzgesetze verarbeitet werden dürfen. Wenn für eine Verarbeitungstätigkeit aber Dienstleistungen außerhalb der EU genutzt werden, muss sichergestellt sein, dass im Zielland dieselben Datenschutz-Standards eingehalten werden. Das sollte durch das Privacy Shield Abkommen der EU mit den USA gewährleistet werden.
Der EUGH hat jetzt aber erkannt, dass aufgrund von US-Gesetzen, die weitgehende Zugriffsrechte der US-Behörden normieren, personenbezogene Daten in den USA nicht ausreichend geschützt sind und daher nicht ohne weiteres dorthin übertragen werden dürfen.

Wie betrifft das mein österreichisches Unternehmen oder meine österreichische Organisation?

Datenverarbeitung passiert in praktisch jedem Unternehmen und jeder Organisation – in unterschiedlichen Formen: Emails, Angebote, Kund*innen-Datenbanken, HR-Abteilung, Websites, Cloudspeicher, Onlinemarketing.
Software ist nicht mehr auf jedem Rechner einzeln installiert sondern wird über Cloudlösungen genutzt. Dazu kommen mobile Anwendungen – vom simplen Smartphone-Adressbuch, auf das halt auch Whatsapp zugreift bis zu oft unzählige weiteren Apps. Und heuer kamen auch noch Homeoffice und virtuelle Meetings mit entsprechenden Softwarelösungen daher.
Macht sich sich da wirklich jeder Gedanken, wo das jeweilige Tool die Daten speichert? Sowohl Gratis-Tools wie auch gekaufte/gebuchte Lösungen wurden bisher eher nach Preis und Usability-Kriterien ausgewählt. Datenschutz hat zwar seit der Einführung der Datenschutzgrundverordnung (DSGVO) im Mai 2018 in vielen Unternehmen/Organisationen einen gewissen Stellenwert, wird aber doch nicht immer ‚zu Ende gedacht‘.
Außerdem konnte man sich bisher ja bei der Entscheidung für ein US-amerikanisches Produkt auf das Privacy Shield Abkommen berufen und darauf hoffen, dass das im Falle einer Prüfung durch die Datenschutzbehörde schon ‚halten‘ würde.

Jetzt aber: Privacy Shield ist tot.

Und man hat bisher Google Analytics verwendet, die Website ist auf einem US-Server gehostet, auf den Rechnern läuft Office365, Whatsapp wird für die Kommunikation des Außendiensts genutzt, Daten liegen auf Dropbox oder im OneDrive, Newsletter verschickt man mit MailChimp, Besprechungen finden in Zoom statt …. diese Liste lässt sich je nach Unternehmen/Organisation beliebig fortsetzen.
Und alle diese Dienste gehören zu US-Firmen, an die nach der neuen Rechtslage keine personenbezogenen Daten mehr übermittelt werden dürfen.

Was sagt mein Datenverarbeitungsverzeichnis?

Wenn man spätestens am Ende der Übergangsfrist im Mai 2018 die DSGVO in seinem Unternehmen oder seiner Organisation entsprechend umgesetzt hatte, sollte man über ein – ständig aktuell gehaltenes – Datenverarbeitungsverzeichnis verfügen. Und darin sind alle Datenverarbeitungen samt verwendetem Tool aufgelistet. So kann man sich relativ rasch einen Überblick verschaffen, wo überall US-amerikanische Angebote im Einsatz sind.
Falls man das mit dem Datenverarbeitungsverzeichnis bisher nicht ganz so exakt umgesetzt hat, sollte man jetzt einen zweiten Anlauf starten:

  • welche Datenverarbeitungen fehlen in der Liste oder sind nicht mehr aktuell?
  • welche Tools sind derzeit im Einsatz?
    Hat man damit dann ein vollständiges Verzeichnis, kommt der nächste Schritt: welche Alternativen kommen in Frage? Oder kann ich mich bei einzelnen Anwendungen auf eine der wenigen Ausnahmen berufen? zB
  • Einwilligung der Betroffenen eingeholt
  • Datentransfer ist zwingend notwendig (zb bei Vertragsabwicklung)

Lösung: Standardvertragsklauseln (SCC)?

Der EUGH hat die Verwendung der EU-Standardvertragsklauseln ausdrücklich nicht aufgehoben. Dh man könnte bei jedem Tool versuchen, mit dem anbietenden Unternehmen einen eigenen Vertrag zu vereinbaren und die von der EU ausgearbeiteten Standardvertragsklauseln zu verwenden. Allerdings muss man trotzdem für ein gleichwertiges Datenschutz-Niveau wie unter der DSGVO sorgen – da wird man kaum eine US-Firma finden, die darauf eingeht, amerikanische Gesetze zugunsten des europäischen Datenschutzes zu verletzen (zB den Foreign Intelligence Surveillance Act – FISA 702).

Einfach gar nichts tun?

Man kann natürlich auch entscheiden, die US-amerikanischen Tools weiter zu verwenden und auf eine Lösung durch die EU zu warten. Nachdem das vorherige Safe Harbor Abkommen vom EUGH gekippt worden war, hatte man sich ja auch nach einiger Zeit auf das Privacy Shield Abkommen geeinigt.
Ob es in absehbarer Zeit ein weiteres Abkommen geben wird, ist allerdings sehr fraglich. Es ist kaum zu erwarten, dass es in den USA ein wirklich tiefgreifendes Umdenken den Datenschutz betreffend geben wird – derzeit nicht, weil das Land im Wahlkampf steckt. Und selbst wenn es einen neuen Präsidenten geben sollte, sind immer noch die Mehrheitsverhältnisse in Kongress und Senat unverändert und seit 09/11 ist Heimatschutz praktisch unüberwindbar.

Aktuelle Situation?

Den Stein hatte zum zweiten Mal Max Schrems ins Rollen gebracht. Nachdem durch seine Klage schon 2016 das Safe Harbor Abkommen vom EUGH aufgehoben worden war, hatte er jetzt wieder Erfolg und auch Privacy Shield ist Geschichte.
Der EUGH hat in seinem Erkenntnis jetzt aber auch die nationalen Datenschutzbehörden aufgefordert, aktiv zu werden. Es ist noch unklar, was von dieser Seite kommen wird.
Um dem Thema Nachdruck zu verleihen, hat die Plattform ‚NOYB‘ (None of your Business), deren ‚Kopf‘ Max Schrems ist, 101 europäische Websites überprüft und festgestellt, dass einen Monat nach dem EUGH-Entscheid noch immer Google Analytics und Facebook Connect dort in Verwendung sind. Gegen diese unrechtmäßige Verwendung hat NOYB am 17. August 2020 Beschwerden bei den für die jeweiligen Unternehmen/Organisationen zuständigen Datenschutzbehörden eingebracht – bzw im OneStopShop-Verfahren (OSS) bei der österreichischen Datenschutzbehörde. Es bleibt also spannend.


News zu Webmarketing/Social Media Marketing