Der internationale Austausch personenbezogener Daten ist weit verbreitet und betrifft auch viele kleine sowie mittelständische Unternehmen, auch wenn dies den Verantwortlichen gar nicht immer so sehr bewusst ist. Grund dafür kann schlichtweg die Sicherung von Dateien sein. Cloud Services, wie z.B. Dropbox, liegen im Trend - und die Server zahlreicher Anbieter befinden sich nun einmal in den USA und somit nach datenschutzrechtlicher Betrachtung in einem Drittstaat.
Doch gerade der Datenaustausch mit den USA bringt Besonderheiten mit sich. Bis Oktober 2015 konnte er auf Basis des Safe Harbor Abkommens erfolgen, welches im Hinblick auf die Einhaltung damaliger Datenschutzbestimmungen als sicher galt. Allerdings wurde das Abkommen vom Europäischen Gerichtshof gekippt, was viele Unternehmen und insbesondere deren Datenschutzbeauftragte vor ein großes Problem stellte.
Privacy Shield soll angemessenen Datenschutz gewährleisten
Erfreulicherweise sollte es nur acht Monate dauern, bis mit dem EU-US Privacy Shield eine neue Datenschutzlösung geschaffen wurde. Dieses explizit zwischen der EU und den USA geltende Abkommen sieht konkrete Datenschutzauflagen vor. Unternehmen in den USA können die Vereinbarungen annehmen und sich entsprechend zertifizieren lassen. Anhand der Zertifizierung weisen sie nach, dass die an sie übermittelten Daten mit Personenbezug einem angemessenen Datenschutzniveau unterliegen. Derzeit gibt es mehr als 1.500 Unternehmen, die sich bereits angeschlossen haben.
Die durch das Privacy Shield Abkommen geschaffene Sicherheit ist jedoch ins Wanken geraten. Grund dafür ist eine Executive Order, die vergangene Woche vom neuen US-Präsidenten Donald Trump erteilt wurde. Mit einer Executive Order kann der US-Präsident den exekutiven Staatsorgangen der USA anweisen, wie sie bestimmte Gesetze auszulegen haben - und womöglich kommt die Executive Order dem Privacy Shield Abkommen in die Quere.
Donald Trump hat nicht Privacy Shield im Visier
Zugegeben: Das eigentliche Ziel von US-Präsident Donald Trump besteht gar nicht darin, das EU-US Privacy Shield Abkommen zu attackieren. Vielmehr steht die innere Sicherheit in den USA im Mittelpunkt. Mit seiner Executive Order verlangt Trump von den exekutiven Organen, alle Nicht-Staatsbürger der USA sowie Menschen ohne dauerhafte Aufenthaltsgenehmigung vom Datenschutz auszuklammern. Auf diese Weise soll die Ermittlungsarbeit der Behörden erleichtert werden, indem sie rasch Zugriff auf personenbezogene Daten erhalten.
Diese hohe Anweisung könnte den Datenschutz, der mit Privacy Shield geschaffen wurde, aushebeln. Seit vergangener Woche befassen sich zahlreiche Experten aus dem Feld des Datenschutzes mit der Executive Order von Donald Trump und deren Auswirkungen auf das EU-US Privacy Shield Abkommen.
Interessant ist, dass die einzelnen Meinungen kaum unterschiedlicher ausfallen könnten. So wird die Executive Order von Peter Schaar, der von 2003 bis 2013 Bundesbeauftragter für den Datenschutz war, sehr kritisch betrachtet. Er hat die EU-Kommission bereits dazu aufgefordert, die für dieses Jahr vorgesehene Überprüfung des Privacy Shield Abkommens vorzuziehen und somit zu prüfen, ob weiterhin ein angemessener Datenschutz gewährleistet ist. Ebenso haben sich bereits einige Fachanwälte in ihren Blogs zu diesem Thema geäußert und dem Privacy Shield Abkommen eine dunkle Zukunft prophezeit: Viele Experten rechnen damit, dass das Abkommen schon bald keinen Bestand mehr hat.
Zwischenzeitlich haben sich auch Abgeordnete aus Brüssel zu Wort gemeldet. Interessant ist, dass einzelne Abgeordnete die Situation vollkommen anders bewerten und das Abkommen nicht in Gefahr sehen. Unter anderem wurde bereits darauf verwiesen, dass sich die Executive Order auf den „Privacy Act“ der USA beziehe, jedoch nicht auf Privacy Shield.
Was Unternehmen beim Datenschutz tun können
Allerdings sind auch dies nur Meinungen. Schlussendlich ist noch nicht geklärt, wie es um die Sachlage steht und ob Unternehmen für ein angemessenes Datenschutzniveau weiterhin auf EU-US Privacy Shield vertrauen können oder ob sie beim Datenschutz andere Wege einschlagen müssen. Einer dieser Wege könnte darin bestehen, sich künftig über Standardvertragsklauseln abzusichern - sofern es die Rahmenbedingungen denn zu lassen. Andernfalls, wenn es z.B. „nur“ um Cloud Speicher geht, könnte eine Lösung auch darin bestehen, sich für einen Anbieter zu entscheiden, dessen Server sich innerhalb der EU befinden.
Unterstützung vom externen Datenschutzbeauftragten
Sie möchten mehr über den Datenschutz erfahren oder befinden sich auf der Suche nach einer professionellen Datenschutzlösung, um ein angemessenes Datenschutzniveau zu erreichen oder beizubehalten? Als externer Datenschutzbeauftragter betreuen wir Unternehmen im gesamten Bundesgebiet, u.a. in den Städten Frankfurt am Main und Stuttgart. Bei Fragen kommen Sie gerne auf uns zu, Sie erreichen uns telefonisch unter 0800 5600831(gebührenfrei) sowie über unser Kontaktformular.