Datenschutz-Nachrichten

Privacy Shield ist unwirksam – Was jetzt zu tun ist

Privacy Shield ist unwirksam – Was jetzt zu tun ist

Von Timo Schutt 4. August 2020

Das Privacy Shield ist tot – Aber was ist die Alternative dazu?

Der Rauch hat sich so langsam verzogen. Aber der Frust bleibt: Das Privacy Shield Abkommen zwischen der EU und den USA wurde vom Europäischen Gerichtshof (EuGH) für unwirksam erklärt. Das ist erst einmal Fakt. Gleichzeitig hat der EuGH “grundsätzlich” die Wirksamkeit der so genannten EU-Standardvertragsklauseln bestätigt. Diese könnten (!) eine wirksame Rechtsgrundlage bilden.

Wenn man die Ratschläge im Moment liest, stürzen sich jetzt alle auf diese Standardvertragsklauseln. Gestern teilt mit zum Beispiel Google per E-Mail mit, ab sofort auf Basis der EU-Standardvertragsklauseln die Datentransfers in die USA vorzunehmen.

Schön und gut. Aber es ist sinnvoll sich das Urteil des EuGH genauer durchzulesen. Denn die Standardvertragsklauseln sollen zwar grundsätzlich wirksam sein. Aber sie können, so der EuGH, einen Datentransfer in die USA (und das ist ja hier das entscheidende Problem) allenfalls dann ermöglichen, wenn sie durch zusätzliche Vereinbarungen (wie bspw. die Zusage bestimmter Maßnahmen durch den US-Datenempfänger) so ergänzt werden, dass das Problem der Datenübermittlung in die USA (Zugriffsrechte von Behörden und Geheimdiensten ohne rechtsstaatliche Kontrolle und ohne Rechtsbehelf der EU-Bürger) beseitigt wird.

Wie aber soll das gehen? Es gibt keine Möglichkeit durch privatrechtliche Vereinbarungen oder durch  Maßnahmen irgendwelcher Art diese gesetzlichen Befugnisse in den USA zu beseitigen oder zu umgehen.

Meiner Meinung nach hat der EuGH die Standardvertragsklauseln auch für die USA-Transfers damit für unzulässig angesehen. Er hat nur deshalb diese Standardvertragsklauseln  nicht auch insgesamt als unwirksam betrachtet, weil sie für alle Datentransfers aus der EU heraus eingesetzt werden können. Besteht also kein Angemessenheitsbeschluss der EU (zuletzt wurde ein solcher für Japan erlassen), dann kann ein Datentransfer mit Hilfe der Vereinbarung der Standardvertragsklauseln  ermöglicht werden.

Wenn aber, wie in den USA, gesetzliche Regelungen einer solchen Vereinbarung entgegenstehen, dann geht das schlicht nicht.

Mein trauriges Zwischenfazit: Standardvertragsklauseln gehen auch nicht

Meine traurige Erkenntnis: Auch die Vereinbarung von Standardvertragsklauseln können den Datentransfer in die USA nicht rechtfertigen. Auch, wenn die Klauseln noch so kreativ ergänzt werden.

Ich könnte mir allenfalls vorstellen, dass die verschlüsselte Übermittlung in die USA und die dort ausschließlich verschlüsselte Verarbeitung helfen würden. Denn dann birgt der Zugriff der US-Behörden auf diese Daten kein Sicherheitsrisiko.

Tipp 1: EU-Alternativen suchen

Meine Empfehlung? Die einzig sichere Empfehlung im Moment kann meiner Meinung nach nur lauten: Suchen Sie sich Alternativen innerhalb der EU.

Es gibt wirklich gute Anbieter, die einige der Services genauso gut können, wie die US-Anbieter:

  • Nutzen Sie bspw. statt Zoom lieber BigBlueButton.
  • Nehmen Sie statt Dropbox besser TeamDrive.
  • Versenden Sie Ihre Newsletter statt mit MailChimp besser mir CleverReach.
  • Setzen Sie für die Analyse der Website besser ein selbst gehostetes MATOMO (ehem. PIWIK) ein, statt Google Analytics.

Es gibt bestimmt für viele US-Anbieter ähnliche Pendants, die es sich lohnt genauer anzuschauen.

Ihre Beispiele und Vorschläge dazu können Sie mir jederzeit per E-Mail an info@meindatenschutzpartner.de mitteilen. Ich schaue mir die Tools gerne an und nehme sie dann in die Liste auf.

Tipp 2: Zumindest Prüfung vornehmen und Lösungen suchen

Ja, ich weiß. Es gibt nicht für alle EU-Lösungen. Und hier wird es schwierig. Gibt es keine Alternative und können Sie ohne den US-Anbieter einen wichtigen Teil Ihrer Abläufe nicht mehr abbilden, dann sollten Sie mindestens bis auf Weiteres folgendes tun:

  • Ermitteln Sie alle Ihre Datentransfers in Drittländer.
  • Stellen Sie fest, auf welcher Rechtsgrundlage die Daten übertragen werden.
  • Erfolgt der Transfer auf der Grundlage des Privacy Shield, prüfen Sie, ob der Transfer auf Standardvertragsklauseln, Binding Corporate Rules (verbindlichen Unternehmensregeln für Datentransfers, die von der Aufsichtsbehörde genehmigt wurden = BCR) oder eine andere Möglichkeit aus Art. 46 DSGVO gestützt werden kann.
  • Erfolgt der Transfer auf Grundlage der Standardvertragsklauseln oder von BCR ist zu prüfen, ob hierdurch ein Schutz personenbezogener Daten gewährleistet ist, der im Wesentlichen denen des EU-Rechts entspricht.
  • Ist dies nicht der Fall, prüfen, ob ein angemessenes Schutzniveau durch zusätzliche Schutzmaßnahmen erreicht werden kann. Die Umstände der Übermittlung sind dabei zu berücksichtigen. Zusätzliche Schutzmaßnahmen können ggf. eine Verschlüsselung der Daten sein.
  • Ist ein angemessenes Schutzniveau nicht zu gewährleisten, weil es dem US-Empfänger der Daten nicht möglich ist, die Standardvertragsklauseln zu erfüllen und die zusätzlichen Schutzmaßnahmen einzuhalten, prüfen Sie, ob eine der Ausnahmen des Art. 49 DSGVO greifen.
  • Ist auch dies nicht der Fall, muss der Datentransfer gestoppt werden.

Ich weiß: Ganz oben sage ich, dass es eigentlich keine Lösung gibt. Sehen Sie diese Schritte zumindest als unsichere Alternativlösung, um zu versuchen bestimmte Datentransfers zu retten und notfalls nachweisen zu können, sich hier Gedanken gemacht und mögliche Lösungen versucht zu haben. Das kann und wird Ihnen in einem Bußgeldverfahren sicher helfen.

Natürlich wäre es kein Fehler, wenn wir gemeinsam diese Lösungen und Alternativen suchen und ich Sie hier bei den weiteren Schritten begleite. Nehmen Sie Kontakt mit mir auf und wir schauen gemeinsam, wie wir Sie hier möglichst sicher neu aufstellen.

Timo Schutt
Ihr Datenschutz Partner
Fachanwalt für IT-Recht