Der Europäische Gerichtshof hat die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA für ungültig erklärt. Damit sind jetzt viele Datentransfers zwischen Europa und Amerika illegal.
Unternehmen, die sich auf den zwischen Brüssel und Washington 2016 vereinbarten „Privacy Shield“ verlassen und sich nicht über Standardverträge abgesichert haben, stehen jetzt vor riesigen Problemen.
Optimisten dagegen sehen in dem EuGH-Urteil jetzt eine Chance auf einen besseren Datenschutz für europäische Bürger und Firmen. Sie setzen auf eine Verlagerung der Datenverarbeitung nach Europa. Das ist aber reine Spekulation.
Ausgangsfall der Entscheidung
Vor sieben Jahren hatte der österreichische Jurist und Datenschutzaktivist Max Schrems Beschwerde gegen Facebook bei der irischen Datenbehörde eingelegt. Er wollte damals verhindern, dass Facebook Irland seine personenbezogenen Daten an den amerikanischen Mutterkonzern weiterleitet.
Das große Problem an dieser Datenerhebung seitens des amerikanischen Mutterkonzerns Facebook stellt Abschnitt 702 des amerikanischen Foreign Surveillance Act (Fisa) dar. Damit ist es den US-Geheimdiensten erlaubt – und zwar ohne richterlichen Beschluss – auf personenbezogenen Daten ausländischer Personen zuzugreifen und diese für eigene Zwecke zu durchsuchen.
„Genau genommen bezieht sich das Gesetz zwar nur auf Unternehmen, die elektronische Dienstleistungen anbieten, also zum Beispiel Cloudspeicher oder Telekommunikationsunternehmen. Doch weil die Datenübertragungen häufig komplex sind, ist es gut möglich, dass auch Daten von anderen Diensten und Anbietern als Beifang bei den Geheimdiensten landen. Es kann also sein, dass die US-Geheimdienste die Dokumente eines EU-Bürgers in der Google Cloud oder seines Facebook-Profils speichern. Obwohl das gegen sein Recht auf Schutz der Privatsphäre in der Europäischen Union verstößt.“
(Quelle: https://www.zeit.de/digital/datenschutz/2020-07/eu-us-privacy-shield-usa-daten-uebertragung-unternehmen-facebook#worum-geht-es)
Mit Augenmerk auf diese Datenerhebung hatte sich der Europäische Gerichtshof die Frage gestellt, auf welcher Rechtsgrundlage diese Datenübertragung überhaupt stattfindet.
Bis dato konnten Unternehmen auf das Privacy-Shield Abkommen und Standarddatenschutzklauseln zurückgreifen.
Rückblick: EU-Richter erklärten Safe-Harbor-Regelung für nichtig
Bereits 2015 hatten EU-Richter die sogenannte Safe-Harbor-Regelung für nichtig erklärt.
Sie kritisierten, dass die Datenschutzregelungen in den USA nicht dem europäischen Schutzstandard entsprechen. Das liege unter anderem daran, dass die Daten nicht ausreichend vor dem Zugriff von US-Behörden geschützt waren.
Ausblick: Experten warnen vor Bußgeldern
Experten waren, dass deutsche Unternehmen nun Bußgelder durch die Datenschutzaufsicht befürchten müssen, wenn Daten in den USA gespeichert werden.
Der Branchenverband Bitkom beklagt den erneuten Wegfall der Rechtgrundlage für die Datenverarbeitung zwischen der EU und den USA. „Für Unternehmen mit einer Datenverarbeitung in den USA entsteht durch dieses Urteil massive Rechtsunsicherheit”, erklärte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.
Wer bislang allein auf Basis des „Privacy Shields” Daten verarbeitet hat, muss zumindest auf die Standardvertragsklauseln umstellen – „andernfalls droht ein Daten-Chaos“.
Unser Ratschlag: Überprüfen Sie Ihre Datenverarbeitungsverträge dahingehend, ob eine Speicherung auch in europäischen Rechenzentren möglich ist und nicht zwangsweise in den USA erfolgen muss.