EuGH kiptt Datenschutzabkommen mit USA

Die Arbeit in der Public Cloud nach dem „Privacy Shield“ Urteil des EUGH

Am 16.07.2020 hat der Europäische Gerichtshof (EuGH) ein Urteil gefällt, das weitreichende Auswirkungen auf die Verarbeitung personenbezogener Daten in der Public Cloud haben kann. Im Grundsatz erklärt das Gericht die bisherigen Rechtsgrundlagen für ungültig, auf denen personenbezogene Daten von EU-Bürgerinnen und -Bürgern in den USA verarbeitet werden.

Grundrechte von EU-Bürgerinnen und -Bürgern in den USA nicht ausreichend geschützt

Der EuGH ist der Ansicht, dass die Grundrechte von EU-Bürgerinnen und -Bürgern in den USA nicht ausreichend vor dem Zugriff durch US-Behörden geschützt sind. Aufgrund von Gesetzen wie dem Foreign Intelligence Surveillance Act (FISA) können US-Behörden ohne richterlichen Beschluss auf personenbezogene Daten von EU-Bürgerinnen und -Bürgern zugreifen, die auf Servern in den USA verarbeitet werden. Die betroffenen Personen haben laut EuGH keine ausreichenden Möglichkeiten, dagegen effektiv vorzugehen und Schadenersatzansprüche geltend zu machen.

Bisherige Rechtsgrundlagen faktisch ungültig

Bisher sollte der rechtliche Schutz personenbezogener Daten von EU-Bürgerinnen und -Bürgern in den USA besonders durch den Privacy Shield garantiert werden. Das ist ein informelles Abkommen zwischen der EU-Kommission und der US-Regierung. Darin wurden Anforderungen und Prüfverfahren für US-Organisationen festgeschrieben, die die Daten von EU-Bürgerinnen und -Bürgern schützen sollten. Laut EuGH ist dieser Schutz durch US-Gesetze wie FISA nicht gegeben. Der Privacy Shield ist folglich nicht effektiv anwendbar.

Eine weitere Möglichkeit, die personenbezogenen Daten von EU-Bürgerinnen und -Bürgern rechtlich zu schützen, besteht in den Standardvertragsklauseln der EU-Kommission. Diese Klauseln bilden einen Teil der Verträge zwischen Organisationen, die personenbezogene Daten außerhalb der EU verarbeiten. Der EuGH erlaubt die Anwendung der Klauseln auch weiterhin. Jedoch müssen die Maßnahmen, die dort verlangt werden, auch faktisch umsetzbar sein. Das ist jedoch in den USA durch Gesetze wie FISA ebenfalls nicht gegeben.

Für die Verarbeitung personenbezogener Daten von EU-Bürgerinnen und -Bürgern besteht seit dem 16.07.2020 also ein Rechtsvakuum.

Was kann man jetzt tun?

Auf jeden Fall können weiter Cloud-Dienste von US-Anbietern genutzt werden. Es sollte nur sichergestellt sein, dass alle personenbezogenen Daten von EU-Bürgerinnen und -Bürgern, die von diesen Diensten verarbeitet werden, auf Servern innerhalb der EU oder in einem „sicheren Drittland“ verarbeitet werden. Sichere Drittländer sind Länder, die nachweislich das gleiche Datenschutzniveau vorweisen wie die EU. (Angemessenheitsbeschluss der EU Kommission)

Jedoch lassen sich einige Dienste von Cloud-Anbietern nicht immer regional einschränken. Wenn durch diese Dienste personenbezogene Daten verarbeitet werden, muss umgehend eine aktive Einwilligung der davon betroffenen Personen eingeholt werden. Diese Einwilligung muss über die Risiken aufklären, die mit der Verarbeitung der personenbezogenen Daten einhergehen. Alle Organisationen sollten zudem prüfen, ob die personenbezogenen Daten in den genutzten Diensten nicht auch anonymisiert verarbeitet werden können; beispielsweise in Form eines Technischen Users für Cloud-Administratoren.

Des Weiteren sollten Verantwortliche die aktuellen Empfehlungen der europäischen Datenschutzbehörden beobachten und Maßnahmen mit den eigenen Datenschutzbeauftragten abstimmen, um die von der eigenen Organisation zu verarbeitenden personenbezogenen Daten zu schützen. Beispielsweise sollten alle Hinweise auf den Privacy Shield aus den eigenen internen und öffentlichen Datenschutzbestimmungen entfernt werden.

Wichtig ist auch, alle bestehenden Verträge mit Cloud-Anbietern zu prüfen. Sollten diese Verträge ausschließlich auf Basis des Privacy Shields personenbezogene Daten verarbeiten, müssen die Verträge schnellstmöglich durch die Standard-Vertragsklauseln ergänzt werden. Diese Klauseln bilden, wie oben beschrieben, keinen hinreichenden Datenschutz. Sie stellen jedoch ein Instrument dar, um die Zeit bis zu einer finalen Regelung zu überbrücken, und wurden vom EuGH nicht grundsätzlich für ungültig erklärt.

Allgemein sollten möglichst keine Cloud-Dienste genutzt werden, die personenbezogene Daten in den USA verarbeiten. Es ist wichtig, auch Sub-Unternehmer zu prüfen, um sicherzustellen, dass auch diese möglichst keine Daten in den USA verarbeiten.

Fazit und Ausblick

Trotz der vielen Unsicherheiten ist die Verarbeitung personenbezogener Daten durch US-Cloud-Dienste weiterhin erlaubt. Hierfür müssen passende technische und organisatorische Maßnahmen umgesetzt werden.

Das Urteil des EuGH hat ein Rechtsvakuum für die Verarbeitung von personenbezogenen Daten in den USA geschaffen. Dies kann beseitigt werden, wenn sich die USA und die EU auf ein neues Rahmenwerk einigen. Aktuell ist eine schnelle Lösung dafür jedoch nicht in Sicht. In den USA müssten eine Reihe von Gesetzen geändert werden, um einen EU-konformen Datenschutz zu gewährleisten. Erschwert wird die Lage durch die allgemein ablehnende Haltung der aktuellen US-Regierung zur internationalen Zusammenarbeit. Der Druck auf die USA und die EU, eine Einigung herbei zu führen, ist jedoch enorm, denn die potenziellen wirtschaftlichen Schäden sind für beide Seiten hoch.

Sie benötigen Unterstützung bei der Überprüfung Ihrer Prozesse in Bezug auf die DSGVO? Wenden Sie sich direkt an den Experten: Stefan Müller.

Wenn Sie noch mehr zum Privacy-Shield-Urteil des EuGH erfahren möchten, empfehlen wir Ihnen die Aufzeichnung unseres Webinars expertHUB online:  Der Privacy Shield ist tot – es lebe der Privacy Shield?

 

Besuchen Sie auch unser kostenloses Webinar expertHUB online: „Innovativ in der Cloud trotz Paragraphenwald!“ am 29.10.2020 um 11 Uhr mit Stefan Müller und Ole Westphal.

 

Diesen Artikel teilen: