Klienteninfo Ausgabe 15 / Juli 2020

Sonderausgabe

Inhalt:

 

17.07.2020

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

Click to print!

 

 

 

EU: EuGH kippt EU-US-Datenschutzvereinbarung „Privacy Shield“ - Auswirkungen noch schwer abschätzbar

Mit einer am 16.7.2020 bekanntgegebenen Entscheidung hat der EuGH - erwartungsgemäß - die Datenschutzvereinbarung "Privacy Shield" für nicht rechtskonform erklärt. Deshalb treten automatisch die Mechanismen in Kraft, die vor Inkraftreten der Vereinbarung gültig waren.

Das bedeutet, dass die Übermittlung personenbezogener Daten an US-Unternehmen - z.B. bei Nutzung von Cloud-Services von Google oder Apple - ab sofort nur mehr dann zulässig ist, wenn mit diesen Firmen ein Auftragsverarbeitervertrag geschlossen wurde, der die sogenannten "Standardvertagsklauseln" enthält. Diese werden in der aktuell gültigen Textierung von der EU-Kommission zum Download in allen Amtssprachen angeboten (siehe unten).

Man könnte also glauben, dass es einfach wäre, seinen laufenden Datenverkehr ohne große Umstellungen wieder legal zu machen. Immerhin benötigt man ja nur die Unterschrift des jeweiligen US-Vertragspartners. Allein, die Chancen sind eher düster:

  1. In den USA gibt es seit 1978 den "Foreign Intelligence Surveillance Act" (FISA), der anlassbezogen immer wieder ergänzt wurde und in seiner aktuellen Fassung den US-Behörden weitgehende Rechte beim Zugriff auf Daten einräumt. Sogar US-Staatsbürger, die ursprünglich von diesem Gesetz geschützt waren, können unter die Überwachungsmaßnahmen fallen, wenn nur ein Behördenvertreter vermutet, dass sie sich im Ausland aufhalten oder wenn sie mit Ausländern Datenaustausch betreiben. Der eigens als Kontrolle geschaffene Gerichtshof "United States Foreign Intelligence Surveillance Court" (FISC) kann bei Gefahr im Verzug auch nachträglich informiert werden.
  2. FISA ermöglicht den US-Behörden unbeschränkten Zugang zu Datenverkehr von Nicht-US-Bürgern im Ausland. Dabei greifen sie auch auf den Datenbestand zu, der von US-Firmen auf Servern verarbeitet wird, die sich in einem EU-Staat befinden und durch EU-Recht geschützt sind.
  3. Es wurden Fälle dokumentiert und publiziert, in denen die US-Behörden die gesetzlichen Beschränkungen durch eigenwillige Interpretationen des FISA-Gesetzestextes de facto übertreten haben. Angesichts der Umstände ist davon auszugehen, dass die Masse der unerlaubten Datenzugriffe geheim bleibt.
  4. Die Standardvertragsklausel 4 sieht in Lit. b vor, dass der Verantwortliche der Datenverarbeitung (Datenexporteur) den Auftragsdatenverarbeiter (z.B. Google) anweist, "die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten". Selbst ein ehrlich bemühtes US-Unternehmen könnte im Hinblick auf die Rechtslage in der USA die Einhaltung dieser Voraussetzung nicht garantieren.
  5. Die Standardvertagsklauseln sehen auch vor, dass primär der Datenexporteur gegenüber dem Betroffenen für die Einhaltung der Regeln haftet. Im Hinblick auf die Sach- und Rechtslage in den USA muss europäischen Firmen dringend vor dem Abschluss eines Auftragsverarbeitervertrages abgeraten werden, der die Standardvertagsklauseln beinhaltet. Denn auch die US-Vertragspartner sind per Gesetz in ihren Möglichkeiten vollständig von den US-Behörden abhängig und können keine Garantien abgeben.
  6. Die Anfrage eines europäischen Unternehmens bei Google, Facebook, Apple oder Microsoft mit der Bitte um Bestätigung der Standardvertragsklauseln wird vermutlich zu keinen Reaktionen führen. Im günstigsten Fall sind schriftliche Erklärungen zu erhalten, die sich zwar in Übereinstimmung mit den Gesetzen der USA befinden, somit aber unter der clausula rebus sic stantibus automatisch im Widerspruch zu europäischem Recht stehen.

 

 

Rascher Handlungsbedarf

Was also kann ein einzelnes, europäisches Unternehmen tun? Wichtig ist es, SOFORT zu handeln, um sich nicht den Sanktionen europäischer Datenschutzbehörden auszusetzen. Zwar ist nicht davon auszugehen, dass diese bereits ab 20. Juli 2020 Strafen verhängen, jedoch muss für sie erkennbar sein, dass sich ein Unternehmen bemüht, den gesetzlichen Zustand herzustellen.

Wenn also ein Unternehmen personenbezogene Daten verarbeitet und zumindest Grund zur Annahme hat, dass US-Unternehmen in irgendeiner Weise an der Datenverarbeitung beteiligt sind, wären folgende Sofort-Maßnahmen zu empfehlen:

  1. Prüfung der eigenen Liste "Verzeichnis der Anwendungen" auf Aktualität.
  2. Prüfung der einzelnen Anwendungen, ob sich Hinweise auf die Einbindung von US-Dienstleistern finden (z.B. Google-AdWords, Google-Analytics, Facebook-Auftritte des Unternehmens, YouTube-Kanäle; Cloud-Anwendungen bei Microsoft, Apple, Google o.dgl.; Google-Kalender, Dropbox, Gratis-Mail wie gmx usw.)
  3. Prüfung und Bewertung der Vorteile, die mit den jeweiligen Lösungen verbunden sind, die derzeit mittels US-Dienstleister lukriert werden. Allenfalls Verwendung von unproblematischen Alternativen, die nicht an US-Firmen gebunden sind (z.B. "OpenOffice" statt "MS-Office365" u.s.w.)
  4. Stillegung von Anwendungen, an denen US-Dienstleister beteiligt sind, auch für den Fall, dass keine gleichwertigen Alternativen gefunden werden können.

Die mancherorts unmittelbar nach der Bekanntgabe der EuGH-Entscheidung geäußerte Hoffnung, dass die US-Gesetzgebung die europäischen Standards des Datenschutzes demnächst stärker berücksichten wird, könnte sich, speziell unter dem gegenwärtigen US-Präsidenten, als zu optimistisch erweisen. Und für den Abschluß eines neuen Abkommens, das europäischen Datenschutzstandards entspricht, sind im günstigsten Fall einige Jahre erforderlich.

 

 

Quellen:

https://www.derstandard.at/story/2000118761208/privacy-shield-was-das-ende-des-eu-us-datenabkommens-fuer
https://www.derstandard.at/story/2000118748636/eugh-kippt-datenabkommen-zwischen-eu-und-usa
https://orf.at/stories/3173791/
(alle 16.7.2020)

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:02010D0087-20161217
(17.7.2020)

 

 


© Ideato OG
Herzogbirbaum 110
2002 Großmugl

 

 

 

 

Click to print!