EuGH kippt den Vertrag EU-US Privacy Shield

von (Kommentare: 0)

Darf ich jetzt noch Daten bei einen amerikanischen Anbieter ablegen?

Justizia

Am Donnerstag den 16.07.2020 ging über die Nachrichtenportale die Meldung zur Entscheidung des Europäischen Gerichtshofs (EuGH) gegen das "Privacy-Shield-Abkommen". Hier wurde ein Urteil zum Abkommen, welches man auch mit “Alter Wein in neuen Schläuchen”übersetzen könnte gefällt.

Kurz – was ist “Privacy Shield”

Privacy Shield war das Nachfolgeabkommen zu Safe Harbor zwischen der Europäischen Union und den USA. Safe Harbor wurde im Jahr 2015 ebenfalls durch das EuGH für ungültig erklärt, aus ähnlichen Gründen.

Es wurde im Jahr 2016 unterzeichnet. In dem Abkommen sind US-Amerikanische Unternehmen dazu verpflichtet, Behörden wie NSA und FBI die Daten ihrer Nutzer zugänglich zu machen - ohne dass Betroffene dagegen vorgehen können.

Überraschend oder nicht?

Der Angemessenheitsbeschluss der EU-Kommission zum Privacy-Shield wurde durch das EuGH mit diesem Urteil kassiert. Ein Urteil, dass nicht überrascht, schließlich war jedem klar der sich ein wenig mit Datenschutz, der DS-GVO und IT-Sicherheit befasst, dass der rege Informationsaustausch in die USA mit den europäischen gesetzlichen Regelungen nicht vereinbar sein kann.

Das Urteil

Nachgelesen kann das Urteil vom 16.07.2020 (Aktenzeichen: C 311/18) über den folgenden Link werden: http://curia.europa.eu/juris/document/document.jsf;jsessionid=72510EBAC1D4E0DCE5A7B90D9A673CFC?text=&docid=228677&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=9712389

Das Gericht hält das Privacy-Shield-Abkommen zwischen der EU und der USA für nicht wirksam genug um personenbezogene Daten von EU-Bürgen zu schützen. In den USA bestehen Regelungen die es den US Behörden erlauben personenbezogene Daten von nicht US-Bürgen anlasslos und ohne richterlichen Beschluss auszuwerten und zu verwenden.

Hauptsächlich ging es in dem Verfahren um Serviceanbieter wie Facebook, Zoom, Google, Microsoft, Apple und Yahoo mit vielen Nutzern in der EU. Und um die Frage, ob die Datenschutzgarantien der USA den Ansprüchen der Europäischen Union genügen. Denn der strenge europäische Datenschutz erlaubt den Transfer von Daten in ein Nicht-EU-Land nur, wenn die Daten dort ebenfalls gut geschützt sind.

Für die USA hat der EuGH nun geurteilt: Die Überwachungsgesetze der USA seien zu weitreichend, als dass der "Datenschutz-Schild" EU-Bürger angemessen vor ihnen schützen könne.

Vertragsvereinbarungen neben dem Privacy Shield

Einige Firmen haben, wie es bisherige gängig Praxis war, mit ihren US-Serviceanbietern Vereinbarungen geschlossen und dafür die EU Standardvertragsklauseln verwendet. Diese sind gemäß dem Urteil des EuGH grundsätzllich noch gültig, sollten sich aber Hinweise ergeben oder konkrete Informationen vorliegen, dass die geschlossenen Vereinbarungen nach den EU-Standardvertragsklauseln bedingt durch die Gesetzgebung im Drittland nicht eingehalten werden können, muss der Datenexporteur (Auftraggeber), um seine Pflichten zu erfüllen, seine zuständige Aufsichtsbehörde informieren. Die Aufsichtsbehörden wiederum hätten über die geschlossenen EU-Standardvertragsklauseln das Recht den Datenimporteur (Auftragsverarbeiter) zu auditieren und sind verpflichtet, wenn die personenbezogenen Daten nicht geschützt sind, den Datentransfer zu stoppen (zu untersagen). Mit dem EuGH Urteil liegen aber schwerwiegende Hinweise vor, so dass jeder von seinem Auditrecht gebrauch machen müßte und die Sicherheit der Daten zu hinterfragen.

Verstoße ich gegen geltendes Recht wenn ich Daten bei Amerikanischen Anbietern habe?

Aus dem Urteil resultiert, dass Unternehmen die nun weiter unter den "Privacy-Shield"-Regeln Daten verarbeiten/austauschen, dies entgegen geltendem Recht tun. Unternehmen die nach Standardvertragsklauseln Daten bei US-Firmen verarbeiten, tun das zwar nicht gegen das Gesetz, müßen aber ein Audit durchführen und die Aufsichtsbehörden informieren. Es könnten nun Bußgelder nach der Datenschutz-Grundverordnung in sechs- oder gar siebenstelliger Höhe drohen.

Damit wird der Spielraum für europäische Unternehmen Serviceanbieter außerhalb der EU zu beauftragen immer kleiner. Auch die immer wieder strapazierten Argumente:

Das wird doch von Allen verwendet.“ oder

Wenn das der Konzern XY macht, dann kann das doch nicht illegal sein.“

sind nicht wirklich haltbar.

Software Produkte von US-Anbietern sind durchaus weiterhin einsetzbar, allerdings sollte tunlichst vermieden werden diese als SaaS-Dienste zu verwenden sondern um auf Nummer sicher zu gehen, auf eigener IT-Infrastruktur zu betreiben.

Gibt es denn Alternativen?

Sicherlich ist es immer sinnvoll SaaS-Dienste bei europäischen Anbietern zu platzieren. Hier gilt die DS-GVO uneingeschränkt. Alle Europäischen Staaten und deren Behörden müssen sich an die DS-GVO und andere Gesetze halten. Eine Unterscheidung zwischen EU-Bürgern und anderen findet nicht statt.

Für alle der von vielen Unternehmen eingesetzten US-Produkte gibt es Alternativen, die wir Ihnen gerne auch aus unserem Rechenzentrum anbieten können. Als vollständig inhabergeführtes deutsches Unternehmen mit eigenem Rechenzentrum können wir Ihnen die Sicherheit geben, dass Ihre Daten nicht an US, oder andere Institutionen herausgegeben werden.

Für den EuGH, die meisten Datenschützer und uns ist klar, das ein weiterer Einsatz von Zoom, Microsoft 365, Google Drive, Amazon AWS-Cloud, Google Cloud, Apple Dienste usw. nicht mehr einsetzbar sind. Hier werden Daten irgendwo gespeichert und müssen von den Anbietern auf Anfrage von US-Behörden herausgegeben werden. Die Daten sind somit gemäß DS-GVO nicht mehr sicher.

Kommen Sie auf uns zu. Wir beraten Sie gerne.

 

 

eteslogo4
Autoren
Markus Espenhain

Unser Geschäfts­führer und Gründer ist für die Strategie und den Kontakt zu Kunden & Partnern verantwortlich. Im Blog stellt er Ihnen neue Partnerschaften und Unternehmens-News vor.

markus.espenhain
Ioannis Dimas

Datenschutz und Informationssicherheit sind seine Herzensangelegenheit. Er berät Unternehmen zu diesen Themen und kann viel dazu berichten.

ioannis.dimas
Marco Welter

 

marco_welter