Das Thema Datenübermittlungen in die USA unter der Datenschutzgrundverordnung (DSGVO) ist ein Dauerbrenner. Mit der Entscheidung des Europäischen Gerichtshofs (EuGH) hat es einen neuen Höhepunkt erlebt. Datenströme zwischen Europa und den USA müssen in Zukunft neu organisiert werden. Wir beantworten die Frage, wie Unternehmen sich aufstellen sollten.
Was ist passiert?
„David gegen Goliath“ – so kommentierten viele Medienplattformen das, was der österreichische Datenschutzaktivist Maximilian Schrems an europäischer Datenschutz-Geschichte geschrieben hat. Auf Betreiben von Herrn Schrems hat der Europäische Gerichtshof nämlich erneut das Abkommen zu Fall gebracht, auf das sich die Europäische Union und die Vereinigten Staaten geeinigt hatten, um Datentransfers in die USA zu rechtfertigen („Privacy Shield“).
Was ist das Privacy-Shield?
Beim Privacy Shield handelt es sich um einen Selbstzertifizierungsmechanismus für in den USA ansässige Unternehmen. Er bescheinigt den Teilnehmern ein angemessenes Datenschutzniveau bei der Übermittlung personenbezogener Daten aus der EU. Unternehmen konnten sich dazu beim U.S.-Handelsministerium unter dem EU-US-Datenschutzschild „zertifizieren“ und online listen lassen. Unter den Teilnehmern waren die meisten Tech-Konzerne wie Google und Facebook gelistet. Haben diese also personenbezogene Daten an die US-amerikanische Mutter übermittelt, reichte Ihnen der Verweis auf das Zertifikat, um die Datenexporte so stattfinden zu lassen.
Wo lag das Problem?
Spätestens durch die Enthüllungen durch Edward Snowden im Jahre 2013 wurde bekannt, dass US-Geheimdienste wie die NSA mit Hilfe von Überwachungsprogrammen ungeschützten Zugang zu den persönlichen Daten europäischer Nutzer haben. Dieser Zugang erlaubt den Geheimdiensten, massenhaft Daten von den Servern der großen US-amerikanischen Unternehmen wie Amazon, Facebook, Microsoft oder Google abzugreifen und im Rahmen ihrer Auswertungen in den USA zu nutzen. Anders ausgedrückt erlauben also die US-Überwachungsgesetze die ungeschützte Massenüberwachung der Daten europäischer Bürger.
Gegen diesen Konflikt engagiert sich Max Schrems seit nunmehr sieben Jahren – erfolgreich. Bereits 2015 kippte der EuGH auf seine Klage hin das bis dahin geschlossene Abkommen „Safe Harbour“. Seinen Nachfolger, das EU-US-Datenschutzschild (Privacy-Shield), kippten die europäischen Richter nun ebenfalls und erklärten es für ungültig.
Was bedeutet das für Unternehmen?
Der Gerichtshof hat klargestellt, dass die weitreichenden US-amerikanischen Überwachungsgesetze im Widerspruch zu den Grundrechten der EU stehen. Es liegt nun an der EU-Kommission, einen neuen Datenschutzpakt zu schließen, in dem die USA angemessene Zugeständnisse zum Schutz der Daten europäischer Bürger machen.
Bis dahin ist aber die Übertragung von Nutzerdaten von EU-Bürgern in die USA nicht generell unmöglich. Wer sich bei den Kooperationen mit Angeboten von Amazon, Google und Co. auf das Privacy-Shield verlassen hat, muss spätestens jetzt auf die Vereinbarung der Standardvertragsklauseln (SCC) umstellen. Das Gleiche muss mit jedem Dienstleister, der seinen Sitz oder eine Konzern-Mutter in den USA hat, getan werden. Das wären beispielsweise:
Cloud-Dienste z.B. Amazon Web Services (AWS)
Newsletter-Tools z.B. Sendinblue (Newsletter2go), Rapidmail, Mailchimp
Microsoft Services z.B. Windows 10, Azure, Dynamics, Microsoft 365
Google Dienste z.B. Google Analytics.
Unsere Handlungsempfehlungen
Wir empfehlen, ein strukturiertes Handeln anzusetzen und sich erst einmal einen Überblick darüber zu verschaffen, welche Dienstleister genutzt werden, sowie zu dokumentieren, welche ihren Sitz oder ein Schwester- oder Mutterunternehmen in den USA haben. Um Sie bei den Details dieser Arbeit zu unterstützen, haben wir eine Self-Checkliste EU-US-Datenübermittlungen nach DSGVO erstellt, die wir auf Anfrage gerne zur Verfügung stellen und mit Ihnen durchgehen.
Sie haben weitere Fragen zum Privacy-Shield, Datenübermittlungen in die USA, personenbezogene Daten, DSGVO oder sehen Handlungsbedarf in einem anderen der genannten Felder? Dann kontaktieren Sie uns mit Ihrem Anliegen unkompliziert per Mail oder wenden sich telefonisch an uns.
Ihr entplexit Datenschutz Team
E-Mail: datenschutz@entplexit.com