Der Privacy Shield ist passé – was jetzt?

Europäische Amerikaner gesucht!

Seit dem 16. Juli 2020 dreht sich für viele Hausverwalter die Welt ein wenig anders. An diesem Tag wurde durch den EuGH (EuGH C-311/18, Schrems II) der sogenannte EU-US Privacy Shield für ungültig erklärt. Das bedeutet, dass ab diesem Zeitpunkt eine Datenübermittlung in Drittländer unzulässig ist. Während vorher eine Übermittlung in Drittländer, wie beispielsweise in die USA, auf den EU-US Privacy Shield gestützt werden konnte, ist dies nun nicht mehr möglich.

Im Klartext bedeutet dies, dass etwaige Cloud-Dienste, Videokonferenzsysteme oder Newsletter-Tools nicht mehr eingesetzt werden können. Zumindest dann nicht, wenn diese Dienstleister die verlangten Schutzmechanismen nicht vorhalten können. Allerdings gibt es eine kleine Ausnahme. Im Jahr 2010 verabschiedete die Kommission die sogenannten „Standardvertragsklauseln“ (2010/87/EU vom 5.2.2010) auch „SCC“ genannt. Diese hat der EuGH wiederum als nach wie vor gültig erklärt. Dieser Standardvertrag beinhaltet wichtige Regularien zum Umgang mit personenbezogenen Daten in einem „unsicheren Drittland“. Hierzu schreibt der hessische Beauftragte für den Datenschutz: „Die Verwendung von Standardvertragsklauseln stellt gerade für kleinere und mittlere Unternehmen ein einfach handhabbares Instrument zur rechtmäßigen Übermittlung personenbezogener Daten in ein Drittland dar. (vgl. EU-Standardvertragsklauseln; Achtung – Auswirkungen des Schrems II-Urteils des EuGH https://datenschutz.hessen.de/datenschutz/internationales/Standardvertragsklauseln)

Orientierungshilfe der Aufsichtsbehörde Baden-Württemberg

Kurzum: Wenn also ein Dienstleister die SCCs ohne Veränderung akzeptiert und sich deren Einhaltung unterwirft, ist eine Datenübermittlung in unsichere Drittländer möglich. Sie ist aber kein Freibrief, denn die Unterschrift allein reicht nicht. „Es muss ein Schutzniveau für die personenbezogenen Daten sichergestellt sein, das dem in der Europäischen Union entspricht,“ stellt der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg in seiner Orientierungshilfe zum internationalen Datentransfer fest. Das wiederum heißt, dass die Vorgaben peinlichst genau von beiden Seiten eingehalten werden müssen. Hierzu hat die Aufsichtsbehörde Baden-Württemberg eine Orientierungshilfe veröffentlicht (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/LfDI-BW-Orientierungshilfe-zu-Schrems-II.pdf).
Anhand dieses Dokuments ist es möglich, dass Unternehmen ihre Prozesse zur Datenübermittlung in Drittländer neu justieren oder aber auch gänzlich einstellen.

Maßnahmen, die getroffen werden müssen

Weiterhin muss der Verwalter auch prüfen, ob er selbst weitere Maßnahmen zur sicheren Datenübermittlung zu treffen hat. D. h. der EuGH stellte in seinem Urteil fest, dass Verantwortliche durchaus selbst Maßnahmen ergreifen müssen, die den sicheren Transportfluss von personenbezogenen Daten in ein Drittland (trotz SCCs) gewährleisten. Das wäre zum Beispiel eine Verschlüsselung. Hierbei ist aber zu beachten, dass nur der Datenexporteur (beispielsweise der Verwalter) den Schlüssel hat und dieser so sicher ist, dass ihn US-Dienste (NSA, CIA, etc.) nicht „knacken“ können. Weiterhin ist der Verantwortliche angehalten, eine entsprechende Anonymisierung und/oder Pseudonymisierung von Daten durchzuführen, welche eben nur durch den Datenexporteur vorgenommen werden kann. Bei dieser ganzen Thematik lässt sich feststellen, dass dies nahezu kein kleines und mittelständisches Unternehmen ad hoc vorhalten kann. Aber Eile ist geboten, denn das EuGH-Urteil bietet keine Übergangsfrist. Die Maßnahmen sind also sofort zu ergreifen.

Das Problem

Viele Verwalter stehen nun vor dem Problem: Was mache ich jetzt? Welchen Dienstleister nehme ich? Oder bleibe ich beim alten Dienstleister? Denn einige Aufsichtsbehörden haben ganz klare Anforderungen an die Unternehmen in Deutschland. In ihrer Pressemitteilung vom 17. Juli 2020 fordert die Berliner Beauftragte für Datenschutz und Informationsfreiheit alle Verantwortlichen auf, die Entscheidung des EuGHs zu beachten. Zitat: „Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenen Datenschutzniveau zu wechseln.“

Schön und gut. Aber nebenbei sei darauf hingewiesen, dass beispielsweise deutsche Unternehmen nicht per se Datenschutz einhalten. Nur weil ein Unternehmen in Deutschland ansässig ist, wo Datenschutzgesetze gelten, heißt das nicht, dass sich dieses Unternehmen auch gänzlich an den Datenschutz hält. Viele amerikanische Anbieter haben in der Hinsicht scheinbar mehr getan, als so manches Unternehmen in Deutschland. Ein Verwalter meinte: Es müsste halt europäische Amerikaner geben. Dann wäre alles gut!

Also was tun?

Der LfDI Baden-Württemberg schlägt folgende Lösungen vor:

  • Führen Sie dringend eine Bestandsaufnahme durch, in welche Länder sie Daten übermitteln. Hierzu ist das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) sehr hilfreich.
  • Der Dienstleister im Drittland sollte (wenn nicht schon geschehen) über das Urteil informiert werden. Nehmen Sie die Zügel selbst in die Hand. Wenn der Dienstleister sich nicht gemeldet hat, müssen Sie es tun.
  • Machen Sie sich ein Bild über die derzeitige Rechtslage in dem Drittland. Es sind ja nicht immer nur die USA, sondern auch China, Russland etc. betroffen. Hingegen ist eine Datenübermittlung in die Länder Kanada, Japan, Neuseeland oder die Schweiz ohne größere Probleme derzeit noch möglich. Denken Sie daran, dass nicht nur Unternehmen, sondern auch öffentliche Einrichtungen und private Zugriffe bedacht werden müssen
  • Können Sie die SCCs nutzen? In der Regel wird man sich hiermit schwertun. Denn die SCCs sollen sicherstellen, dass eben kein Eingriff in die personenbezogenen Daten von irgendeiner öffentlichen Stelle (z.B. NSA) erfolgen kann. Daher ist die Heranziehung der SCCs für Unternehmen in den USA zu verneinen.

Achtung! Die SCCs sollten durch die Behörde geprüft werden. Verlassen Sie sich nicht darauf, dass die bloße Heranziehung der SCCs ausreicht, um die Datenübermittlung in unsichere Drittländer zu legitimieren.

Diese Punkte müssen geprüft werden

Um herauszufinden, ob Ihr Dienstleister etwaige europäischen Anforderungen unterstützt und umsetzt, können Sie unter www.noyb.eu einen Musterfragebogen herunterladen und diesen an den Dienstleister übersenden.

Weiterhin sollten Sie noch folgendes im Fokus haben

  • Ändern Sie Ihre Informationspflichten gemäß Art. 13 DSGVO
  • Ändern Sie Ihre Datenschutzerklärung auf der Webseite
  • Das unternehmerische Engagement in den sozialen Medien sollte derzeit überdacht werden
  • Prüfen Sie Möglichkeiten zur Anonymisierung und Pseudonymisierung
  • Prüfen Sie Möglichkeiten zur effektiven Verschlüsselung
  • Auch wenn Microsoft derzeit kolportiert, dass die SCCs eingehalten werden, so sehen dies die Aufsichtsbehörden ganz anders. Zu viele Subunternehmer mit Sitz in den USA werden von Microsoft beauftragt. Dies zielt hauptsächlich auf den Einsatz aller Cloud-Dienste von Microsoft.
  • Dropbox ist ebenfalls eine Datenverarbeitung in den USA

Andere Möglichkeiten?

  • Transfer einstellen! Die erste und logische Möglichkeit ist, sämtliche Datentransfers in unsichere Drittländer gänzlich stillzulegen. Dies ist tatsächlich der einzig rechtssichere Weg. Allerdings sind die wirtschaftlichen Nachteile nicht von der Hand zu weisen.
  • Einwilligung! Die von der Verarbeitung im Ausland betroffenen Personen können ausdrücklich in die Verarbeitung ihrer Daten einwilligen. Weiterhin sind alle Aspekte mit der Wirkung einer Einwilligung zu beachten, speziell das Widerrufsrecht. Nachteil ist aber, dass das gesamte Management um die Einwilligungen hier ganz besonders dokumentiert werden muss. Die korrekte Umsetzung der Einholung zur Einwilligung muss in den Rechenschaftspflichten (Art. 5 Abs. 2 DSGVO) detailliert beschrieben werden.
  • Einfach nicht beachten! Dies ist sicherlich die bequemste, aber auch die gefährlichste Lösung. Daher empfiehlt es sich nicht, das Ganze auszusitzen und zu hoffen, dass sich irgendetwas zum Guten verändert. Datenschutz ist nun mal ein Grundrecht. Jeder hat ein Recht darauf, dass seine Daten jederzeit vor dem Zugriff unbefugter Dritter geschützt sind. Daher muss jedes Unternehmen Datenschutz beachten und umsetzen.

Die Behörden

Das Statement der Aufsichtsbehörden ist klar und unmissverständlich. So schreibt der LfDI Baden-Württemberg in seiner Handlungsempfehlung: „Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden. Versöhnlich hingegen ist aber dann der weitere Absatz: „Uns ist bewusst, dass mit dem Urteil des EuGH u. U. extreme Belastungen für einzelne Unternehmen einhergehen können. Der LfDI wird sein weiteres Vorgehen am Grundsatz der Verhältnismäßigkeit ausrichten. Wir werden die Entwicklung weiter beobachten und unsere Position dementsprechend laufend überprüfen und fortentwickeln.

Fazit

Die Karten liegen auf dem Tisch. Im Supermarkt findet man sehr häufig den Aufruf, regionale Produkte zu kaufen und somit die hiesigen Hersteller zu unterstützen. Dies gilt auch analog für Dienstleister aus anderen Branchen in Deutschland. Zwar werden viele Features (noch) nicht angeboten, jedoch ist zu erkennen, dass die deutschen Programmierer gute Ideen haben und diese in ihre Produkte einfließen lassen. Der Verwalter muss nur den Mut haben, zuzugreifen, natürlich unter der Beachtung der DSGVO. Dann kann man den Amerikanern ein Schnippchen schlagen.

Reinhold Okon

www.dsb-okon.de

Einen Kommentar schreiben
Kommentieren