Privacy Shield: Verabschieden Sie sich von Microsoft, Google und Co.

Der Europäische Gerichtshof hat vor kurzem eine wichtige Entscheidung über den Datentransfer zwischen Europa und den USA getroffen. Diese Entscheidung überraschte sowohl durch ihre Konsequenzen als auch durch das Fehlen einer "Gnadenfrist" für Unternehmen, um sich anzupassen. Lassen Sie uns die Situation entschlüsseln.

Die Entscheidung des Europäischen Gerichtshofs setzt dem Privacy Shield ein Ende. Dieses Abkommen erlaubte es europäischen Unternehmen, personenbezogene Daten an US-amerikanische Unternehmen oder Server zu übertragen, ohne dass diese Übertragung gegen die DSGVO verstößt. Das höchste europäische Gericht wurde von einem österreichischen Anwalt angerufen, der sich Sorgen um den Datenschutz und die Befugnisse der US-Regierung machte, US-Unternehmen dazu zu zwingen, ihre Server für sie zu öffnen. Nach Prüfung der Situation entschied das Gericht, dass die vom Gesetzgeber der US-Regierung eingeräumten Befugnisse es dieser tatsächlich ermöglichen, personenbezogene Daten einzusehen oder zu erfassen, indem sie Datenströme aus Europa automatisiert überprüft.

1. Das Privacy Shield ist tot. Und daher ist es nicht mehr möglich, personenbezogene Daten im Rahmen dieses Abkommens an US-Unternehmen zu übermitteln, da es aufgehoben wurde.
2. Vertragsklauseln in der Palliativmedizin. Während die von der Europäischen Kommission für Drittländer vorgeschlagenen Klauseln auf viele Länder angewendet werden können, ist dies für die USA nicht der Fall. Die Voraussetzungen für ihre Anwendung sind in den USA nämlich nicht gegeben, entgegen den Behauptungen der großen US-amerikanischen Akteure des Sektors. Denn der Zugriff der US-Regierung auf die Daten macht die Anwendung dieser Klauseln unanwendbar.
3. Eine Zustimmung ist nicht möglich! Theoretisch könnte ein Unternehmen die Nutzer bitten, der Datenverarbeitung zuzustimmen. In manchen Fällen ist die Zustimmung jedoch nicht frei: Wie viel Spielraum hat ein Arbeitnehmer, um sich dagegen zu entscheiden, dass sein Arbeitgeber ein Konto für ihn einrichtet, das Google Mail oder Microsoft Office verwendet? Und selbst wenn eine Zustimmung möglich wäre, wie soll man potenziellen Nutzern erklären, dass sie damit einverstanden sind, dass ihre Daten von US-Behörden geprüft werden, um die nationale Sicherheit der USA zu gewährleisten, und wie soll man erklären, was diese Regierung damit macht?
4. Die Verschlüsselung von Daten ist keine hundertprozentig sichere Lösung. Theoretisch könnte eine End-to-End-Verschlüsselung der Daten (von den Computern oder Servern des Unternehmens bis zu den Servern in den USA) eine ausreichende Sicherheitsgarantie bieten. Unternehmen, die auf diese Lösung zurückgreifen, müssen jedoch sehr vorsichtig sein. Die US-Behörden behalten nämlich ihre Überwachungsrechte. Die Verschlüsselung müsste also extrem stark sein und die US-Behörden dürften keine Möglichkeit haben, sich die Schlüssel zu beschaffen. Nun weiß aber jeder, dass es keine absolute Sicherheit gibt, nicht einmal in der Theorie.
5. US-amerikanische Unternehmen können daher nicht mehr Auftragsverarbeiter im Sinne der DSGVO sein. Denn sie könnten sich aufgrund der US-Gesetze nicht zur Einhaltung der DSGVO verpflichten, selbst wenn sie dies wollten. Folglich können wir sie nicht mehr als Auftragsverarbeiter auswählen.

1. Unternehmen müssen jegliche Datenübertragung an US-amerikanische Unternehmen einstellen.
2. Leider haben wir in Europa keine Äquivalente zu allen US-amerikanischen Dienstleistern.
3. Eine erhebliche Arbeitslast lastet auf den Schultern der Unternehmen und ihrer DSB, ohne dass die europäischen oder nationalen Behörden ihnen heute eine praktische Lösung anbieten können.
4. Werden die US-Behörden ihre Sicherheits- und Kontrollvorschriften lockern? Das ist zu bezweifeln, es sei denn, die amerikanischen Branchenriesen erreichen ihre Ziele durch eine ihrer gigantischen Lobbying-Aktionen. Aber sowohl hier als auch dort ist ein Gleichgewicht zwischen Sicherheit und Privatsphäre unerlässlich.

Kurz gesagt, im Moment herrscht ein ziemliches Chaos. Man kann nur hoffen, dass die europäischen Behörden nicht sofort Sanktionen verhängen, aber sicher ist das zum jetzigen Zeitpunkt noch nicht.

Analysieren Sie sofort alle Ihre Verträge mit Ihrem DSB oder Ihrem Rechtsbeistand im Hinblick auf Datenübermittlungen an US-amerikanische Unternehmen.