Privacy Shield – viele Unklarheiten beim brüchigen Datenschutz

Mit der Datenschutz-Grundverordnung (DSGVO) hat sich die Europäische Union ein sehr hohes Datenschutzniveau verpasst. Unternehmen dürfen personenbezogene Daten an andere Unternehmen bekanntlich nur dann übermitteln, wenn die Vorgaben der DSGVO eingehalten werden. Da die DSGVO EU-weit gilt, spielt es auch keine Rolle, ob sich diese Unternehmen in einem oder mehreren EU-Staaten befinden.

Sitzt der Datenempfänger jedoch außerhalb der EU, regeln die Artikel 45 bis 50 der DSGVO, unter welchen Voraussetzungen eine solche Übermittlung erlaubt ist. Grundsätzlich bedarf es dazu eines angemessenen Datenschutzniveaus in einem Drittstaat.

Eben dieses Datenschutzniveau wurde im Falle der USA durch „Privacy Shield“ bestätigt. Oder anders gesagt: mit dem Abkommen, das eine „Angemessenheitsentscheidung“ der EU-Kommission war, wurde festgestellt, dass US-Unternehmen, die sich dem „Privacy Shield“ unterwerfen, ein EU-konformes Datenschutzniveau für den Datentransfer aus der EU gewährleisten.

Dazu hatten US-Unternehmen die Möglichkeit, sich in eine vom US-Handelsministerium geführten Liste („Privacy Shield List“) eintragen zu lassen, wenn sie sich zur Einhaltung der vereinbarten verbindlichen Anforderungen („Privacy Shield Principles“) durch eine Selbstzertifizierung gegenüber dem US-Handelsministerium verpflichteten.

Allerdings, und daran stießen sich die EU-Richter hauptsächlich, existieren gleichzeitig Überwachungsprogramme wie etwa der Foreign Intelligence Surveillance Act (FISA). Dieser gestattet nicht nur eine Massenüberwachung, auch haben Europäer keine Klageberechtigung vor einigen US-Gerichten. Will heißen: selbst, wenn sich die US-Unternehmen strikt an die Privacy Shield-Anforderungen halten, FISA müssen sie sich trotzdem beugen und können damit den Datenschutz nicht mehr gewährleisten.

Die Folgen dieses Urteils sind weitreichend. Im Grunde bedeutet es nämlich, dass ab sofort keine Nutzerdaten aus der EU mehr in die USA übertragen und dort verarbeitet werden dürfen. Man kann sich gut vorstellen, was das für die unzähligen Tools und Dienste bedeuten würde, die aktuell auf europäischen Webseiten laufen. Nebst anderen sind beispielsweise folgende bekannte Tools betroffen:

• Plugins von Facebook, Instagram, LinkedIn, Pinterest, Twitter usw.
• Google Analytics, Ads, Adsense, Maps usw.
• Mailchimp
• WhatsApp
• YouTube, Vimeo, Spotify usw.
• Zoom, Skype, Microsoft Teams usw.
• Apple
• Und viele andere mehr…

Die ganze Reichweite des Urteils wird sich außerdem erst in den nächsten Wochen und Monaten zeigen. Mittelfristig gesehen sollten nun aber alle Unternehmen eine Bestandsaufnahme der genutzten Anbieter vornehmen und entsprechende Maßnahmen setzen. Denn jeder, der auf Dienste der zuvor Unternehmen zurückgreift und damit Daten von anderen Personen weiterleitet, handelt aktuell entgegen der Datenschutzgrundverordnung.

Wie dem Problem beizukommen ist, daran scheiden sich derzeit noch die rechtlichen Geister. Fix ist nur, dass es hierfür keinen allgemein gültigen Fahrplan gibt. Jedes Unternehmen muss demnach einzeln betrachtet werden, da es beispielsweise auch davon abhängt, welche Daten zu welchem Zweck gesammelt und verarbeitet werden. Ein paar Ansatzpunkte haben sich aber bereits herauskristallisiert.

• Ein solcher Ansatzpunkt könnten etwa die EU-Standardvertragsklauseln (Standard Contractual Clauses – SCC) sein. Die Umstellung ist jedoch recht mühsam und zeitaufwändig. Man braucht nämlich sehr genaue Informationen dazu, was wie übertragen und somit Gegenstand der Vertragsklauseln wird. Und: Bei der Übermittlung personenbezogener Daten, muss das vom Unionsrecht verlangte Schutzniveau eingehalten werden. Ob das aufgrund der US-Gesetze überhaupt möglich ist, müssen die jeweiligen Unternehmen selbst in den USA sicherzustellen. Übrigens: Auch Facebook verwendet SCCs. Diese sind zwar laut EuGH weiterhin rechtmäßig, aber eben nur, wenn ein ebenso hohes Datenschutzniveau vorhanden ist. Fazit: Die Datenweitergabe an US-Unternehmen unter den Standardvertragsklauseln kann also faktisch nicht gemäß der EuGH-Entscheidung funktionieren, weil die US-Datenschutzgesetze viel lascher sind als die Europäischen.

• Eine weitere Möglichkeit bietet unter Umständen eine Ausnahmevorschrift des Artikels 49 der DSGVO. Demnach können Daten auch dann in ein Drittland übertragen werden, wenn eine explizite Zustimmung des Nutzers dafür vorliegt. Diese muss sich allerdings auf bestimmte Daten oder Übertragungen beziehen. Die Zustimmung muss außerdem vor dem Transfer eingeholt werden, auch wenn dieser erst nach der Datensammlung stattfindet. Der Inhaber der Daten muss zudem gezielt über mögliche Risiken informiert werden.

• Eine vorherige, informierte, freiwillige, aktive und separat erklärte Einwilligung des Nutzers über einen Cookie- oder Consent-Banner. Das Problem: eine solche Einwilligung kann meist nicht eingeholt werden, da die Erklärung über die Datenerhebungen von Google & Co. (technisch und administrativ) nahezu unmöglich sein dürfte. Zudem ist die technische Realisierung von Einwilligungsabfragen für Tracking, Cookies und Datentransfers kompliziert und führt wahrscheinlich zu noch mehr rechtlichen Problemen.

• Darauf hoffen, dass es recht bald ein besseres Folgeabkommen zwischen der EU und den USA gibt und dieses dann auch vorm EU-Gericht hält. Vermutlich ist das aber der riskanteste und mit ziemlicher Sicherheit auch der langwierigste Weg.

Nein, das sicher nicht – untätig herumsitzen sollte man aber auch nicht. Wir empfehlen schon jetzt eine Liste mit allen US-Softwareanbietern und -Dienstleistern, die du nutzt, zu erstellen. Analysiere dabei, ob personenbezogene Daten der Nutzer an diese Unternehmen übermittelt werden und frage nach, ob diese Anbieter eine Regelung für Kunden aus der EU treffen wird.

Außerdem solltest du dich von ihm gleich versichern lassen, dass der Anbieter dich proaktiv informiert, wenn er die strengen Datenschutzvorgaben nicht mehr einhalten kann – etwa, weil es behördliche Maßnahmen auf Grundlage des Foreign Intelligence Surveillance Acts (FISA) gibt. In diesem Fall solltest du die Datenübertragung umgehend einstellen.

Und last but not least sollten Unternehmen auch die Möglichkeit prüfen, ob ein transatlantischer Datentransfer überhaupt nötig ist, oder ob die Datenverarbeitung auch in der EU geschehen kann. Einige US-amerikanische Cloud-Anbieter bieten sehr wohl EU-Server an. Ein Zugriff durch US-Geheimdienste kann zwar auch hier nicht völlig ausgeschlossen werden, die Hürden sind hier aber um einiges höher.

Und Achtung: Auch allfälliger Support muss über die EU erfolgen, da selbst ein temporärer Zugriff auf EU-Daten aus den USA eine datenschutzrechtlich relevante Verarbeitungsmaßnahme darstellt.

Wenn du mehr darüber erfahren möchtest, wie du deine Systeme schützt, liefern dir unsere kompetenten Ansprechpartner individuelle Lösungswege – hier geht’s zur IT-Security.