Sebastian Kraus — 20.07.2020
Der EUGH hat das Privacy-Shield-Abkommen für unzureichend erklärt. Damit ist nach dem 2015 für ungültig erklärte Safe-Harbor-Abkommen mit den USA das selbe Abkommen mit neuem Namen erneut für unzureichend erklärt worden. Was ist jetzt zu tun?
Mit dem Inkrafttreten der DSGVO im Mai 2018 gilt für alle Unternehmen und öffentlichen Einrichtungen, dass die Verarbeitung von personenbezogenen Daten entweder innerhalb der EU auf Basis der DSGVO zu erfolgen hat, oder in einem Drittstaat, welcher vergleichbare Datenschutzrechtliche Voraussetzungen hat wie die EU (z. B. die Schweiz). Die USA hat im Prinzip einen vergleichbaren Datenschutz, allerdings nur für US-Bürger. Auf Daten von EU-Bürgern können in den USA auf Basis des Abschnitt 702 des amerikanischen Foreign Surveillance Acts von den US-Geheimdiensten jederzeit ohne richterliche Anordnung oder - in speziellen Fällen - sogar ohne, dass sich das Verarbeitende Unternehmen juristisch zur Wehr setzen darf, beliebig abgegriffen werden.
Dieses Gebahren entspricht keinem mit der DSGVO vergleichbarem Datenschutzniveau und der Versuch, das seit 2000 in Kraft gesetzte Safe-Harbor-Abkommen zu benutzen, um einen solchen Schutz zu simulieren, ist 2015 vor dem EUGH verpufft. Die damalige EU-Kommission wurde schnell aktiv, benannte das Safe-Harbor-Abkommen um in "Privacy Shield", was aber im wesentlichen den selben Schutzmechanismus erzielte: nämlich keinen.
Mit dem Fall des Privacy-Shield-Abkommens stehen die EU-Unternehmen jetzt erneut vor dem Problem, dass sehr viele Dienste, mit denen bevorzugt personenbezogene Daten verarbeitet werden, nicht mehr legal nutzbar sind:
Grundsätzlich sind alle Dienste betroffen, bei denen Sie personenbezogene Daten in strukturierter Form an einen externen Dienstleister übergeben, der seinen Firmensitz in den USA hat. Wenn Microsoft beispielsweise Daten in Irland speichert, dann liegen die Daten zwar in der EU, der US-Foreign-Surveillance-Act kann aber Microsoft dennoch zur Herausgabe der Daten zwingen, ohne, dass Microsoft sich dagegen zur Wehr setzen oder die Nutzer darüber informieren darf.
Nur, wenn der Nutzer (der Eigentümer der personenbezogenen Daten) aktiv und informiert eingewilligt hat, dass seine Daten in den USA gelagert werden, sind diese Dienste noch nutzbar. Mit aktiv und informiert ist gemeint, dass sich der Nutzer vollständig darüber im Klaren sein muss, was mit seinen Daten passiert. Eine 80-Seitige Datenschutzerklärung auf die Webseite zu packen erfüllt vermutlich nicht die Anforderung an "informiertes Einverständnis". Die Hürde liegt zudem recht hoch, Sie sind als Unternehmer in der Beweislast, dass der Nutzer informiert eingewilligt hat.
Wir appelieren an unsere Kunden: Wenn Sie personenbezogene Daten verarbeiten, dann nutzen Sie Dienste, die im Geltungsbereich der DSGVO liegen, also Europäische Dienste. Für annähernd alle Probleme, die Microsoft, Google, Apple, Dropbox und co lösen, gibt es DSGVO-konforme Alternativen. Es existieren für all diese Dienste Open-Source-Lösungen, die vergleichbar oder sogar besser funktionieren. Für eine Newsletter-Adressliste oder einen gemeinsamen, geteilten Ordner für Projektdaten ist es nicht notwendig, die Daten über den Atlantik in eine fremde Jurisdiktion zu überführen.
Wenn Sie auf der Suche nach einer DSGVO-Konformen Lösung für Dateiablage, Newsletter, Cloud-Storage, Mail oder Webseitenanalyse sind, sprechen Sie uns an. Wir haben das alles fertig und größtenteils kostenlos nutzbar für unsere Kunden zur Verfügung gestellt.
Sofern die USA Ihre Geheimdienst-Befugnisse nicht dramatisch zurechtstutzen, wird auch das nächste EU-Abkommen von Max Schrems vor dem EUGH zerpflückt. Denn de facto existiert in den USA kein angemessenes Schutzniveau für Daten ausländischer Personen. Heute, Stand 2020, sieht es auch nicht so aus, als würde sich das zeitnah ändern.