Das Privacy Shield Abkommen ermöglichte es europäischen Unternehmen, personenbezogene Daten in die USA zu übertragen. Am Donnerstag wurde das Abkommen vom Europäischen Gerichtshof für ungültig erklärt. Für zahlreiche Unternehmen geht damit das Risiko einher, nicht mehr datenschutzkonform zu handeln.
Kernproblematik: Die USA sind ein Drittstaat
Oft ist die Datenübermittlung in die USA wichtig, besonders im IT-Umfeld. Schließlich sind dort fast alle führenden IT-Riesen ansässig. Ob Facebook, Google, Microsoft oder andere Konzerne: Viele europäische Unternehmen nutzen deren Angebote, um beispielsweise Daten auszuwerten oder effizientes Marketing zu betreiben.
Das Kernproblem besteht darin, dass die USA kein Mitgliedsstaat der EU sind und damit nicht der DSGVO unterliegen. Es gelten andere datenschutzrechtliche Bestimmungen – und diese werden den vergleichsweise hohen Anforderungen der DSGVO nicht gerecht. Sofern ist die Übermittlung personenbezogener Daten in die USA ohne entsprechende Absicherung nicht möglich. Wer hiergegen verstößt, riskiert eine satte Strafe.
Privacy Shield war ein wertvolles Instrument
Das Privacy Shield Abkommen, das erst 2016 als Nachfolger des Safe Harbor Abkommens in Kraft trat, stand für eine simple und zugleich komfortable Lösung. Die Idee hinter Privacy Shield besteht darin, dass sich US-amerikanische Unternehmen zertifizieren lassen und damit ein angemessenes Datenschutzniveau nachweisen.
Sofern eine gebotene Leistung (die eine Datenübermittlung erfordert) interessant schien, genügte es meist zu prüfen, ob der jeweilige Anbieter eine Privacy-Shield Zertifizierung vorweisen kann. Gegebenenfalls musste ergänzend noch ein Vertrag über die Auftragsverarbeitung geschlossen werden, um die Daten rechtssicher übermitteln zu können.
Was sind die Konsequenzen?
Wer Privacy Shield als Grundlage für den sicheren Datenaustausch mit Partnern in die USA nutzt, steht nun vor einem Dilemma. Der EuGH hat die Grundlagen des Abkommen als unzureichend eingestuft. Damit kann die Datenübermittlung nicht länger erfolgen – und sollte dies doch geschehen, wird es riskant. Es drohen Abmahnungen, Bußgelder und ggf. sogar Ansprüche von Betroffenen auf Schadenersatz.
Welche Lösungsansätze existieren?
Ein Ansatz besteht darin, von einer Datenübermittlung in die USA auf Grundlage von Privacy Shield abzusehen. Zwar mag solch eine Entscheidung nicht immer leicht fallen, allerdings bedeutet sie vor allem Sicherheit. Zumal nicht zwangsläufig auf bestimmte Leistungen verzichtet werden muss. Viele Services werden nicht nur von US-amerikanischen Unternehmen angeboten. Besonders im Cloud-Umfeld finden sich fast immer auch europäische Anbieter, die ähnliche Dienste anbieten und zugleich den Bestimmungen der DSGVO unterliegen. Übrigens räumen einige US-Anbieter ihren europäischen Kunden die Option ein, Daten gezielt und ausschließlich innerhalb der EU zu hosten.
Ein alternativer Ansatz ist die Übermittlung personenbezogener Daten auf Grundlage von Standardvertragsklauseln. In diesem Fall schließen beide Parteien eine Vereinbarung auf Basis eines von der Europäischen Kommission verabschiedeten Vertragswerks. Im Rahmen dieses Vertrags sichert der Partner einen aus datenschutzrechtlicher Sicht angemessenen Umgang mit den Daten zu. Gegebenenfalls müssen von den Verantwortlichen zusätzliche Garantien mittels Erweiterung der Standardvertragsklauseln über entsprechende geschäftsbezogene Klauseln geschaffen werden.
Von der Option, die Thematik „auszusitzen“ und darauf zu hoffen, dass EU und USA eine neue Vereinbarung treffen, raten wir hingegen ab. Schließlich ist ungewiss, ob dies gelingt – und selbst wenn dieser Fall eintritt, dürfte bis dahin noch viel Zeit verstreichen. Das Risiko, währenddessen belangt zu werden, ist zu groß.
Sollten Sie verunsichert sein oder Fragen haben, sprechen Sie uns an. Als Ihr externer Datenschutzbeauftragter helfen wir Ihnen gerne weiter. Rufen Sie an oder nutzen Sie unser Kontaktformular, um mehr zu erfahren.