EuGH kiptt Datenschutzabkommen mit USA

Die Arbeit in der Public Cloud nach dem „Privacy Shield“ Urteil des EUGH

Am 16.07.2020 hat der Europäische Gerichtshof (EuGH) in Bezug auf  den US Privacy Shield ein Urteil gefällt, das weitreichende Auswirkungen auf die Verarbeitung personenbezogener Daten in der Public Cloud haben kann. Im Grundsatz erklärt das Gericht die bisherigen Rechtsgrundlagen für ungültig, auf denen personenbezogene Daten von EU-Bürgerinnen und -Bürgern in den USA verarbeitet werden.

Grundrechte von EU-Bürgerinnen und -Bürgern in den USA nicht ausreichend geschützt

Der EuGH ist der Ansicht, dass die Grundrechte von EU-Bürgerinnen und -Bürgern in den USA nicht ausreichend vor dem Zugriff durch US-Behörden geschützt sind. Aufgrund von Gesetzen wie dem Foreign Intelligence Surveillance Act (FISA) können US-Behörden ohne richterlichen Beschluss auf personenbezogene Daten von EU-Bürgerinnen und -Bürgern zugreifen, die auf Servern in den USA liegen. Die betroffenen Personen haben laut EuGH keine ausreichenden Möglichkeiten, dagegen effektiv vorzugehen und Schadenersatzansprüche geltend zu machen.

Bisherige Rechtsgrundlagen des US Privacy Shield faktisch ungültig

Bisher sollte der Privacy Shield den rechtliche Schutz personenbezogener Daten von EU-Bürgerinnen und -Bürgern in den USA garantieren. Das ist ein informelles Abkommen zwischen der EU-Kommission und der US-Regierung. Darin wurden Anforderungen und Prüfverfahren für US-Organisationen festgeschrieben, die die Daten von EU-Bürgerinnen und -Bürgern schützen sollten. Laut EuGH ist dieser Schutz durch US-Gesetze wie FISA nicht gegeben. Der Privacy Shield ist folglich nicht effektiv anwendbar.

Eine weitere Möglichkeit, die personenbezogenen Daten von EU-Bürgerinnen und -Bürgern rechtlich zu schützen, besteht in den Standardvertragsklauseln der EU-Kommission. Diese Klauseln bilden einen Teil der Verträge zwischen Organisationen, die personenbezogene Daten außerhalb der EU verarbeiten. Der EuGH erlaubt die Anwendung der Klauseln auch weiterhin. Jedoch müssen die verlangten Maßnahmen auch faktisch umsetzbar sein. Das ist jedoch in den USA durch Gesetze wie FISA ebenfalls nicht gegeben.

Für die Verarbeitung personenbezogener Daten von EU-Bürgerinnen und -Bürgern besteht seit dem 16.07.2020 also ein Rechtsvakuum.

Was kann mit Blick auf die DSGVO jetzt tun?

Auf jeden Fall kann man weiter Cloud-Dienste von US-Anbietern nutzen. Man sollte nur sicherstellen, dass sich alle von diesen Diensten verarbeiteten personenbezogenen Daten von EU-Bürgerinnen und -Bürgern auf Servern innerhalb der EU oder in einem „sicheren Drittland“ befinden. Sichere Drittländer sind Länder, die nachweislich das gleiche Datenschutzniveau vorweisen wie die EU. (Angemessenheitsbeschluss der EU Kommission)

Jedoch lassen sich einige Dienste von Cloud-Anbietern nicht immer regional einschränken. Wenn diese Dienste personenbezogene Daten verarbeiten, müssen die davon betroffenen Personen umgehend aktiv in die Nutzung einwilligen. Diese Einwilligung muss über die Risiken aufklären, die mit der Verarbeitung der personenbezogenen Daten einhergehen. Alle Organisationen sollten zudem prüfen, ob die personenbezogenen Daten in den genutzten Diensten nicht auch anonymisiert verarbeitet werden können; beispielsweise in Form eines Technischen Users für Cloud-Administratoren.

Des Weiteren sollten Verantwortliche die aktuellen Empfehlungen der europäischen Datenschutzbehörden beobachten und Maßnahmen mit den eigenen Datenschutzbeauftragten abstimmen, um die von der eigenen Organisation zu verarbeitenden personenbezogenen Daten zu schützen. Beispielsweise sollten sie alle Hinweise auf den Privacy Shield aus den eigenen internen und öffentlichen Datenschutzbestimmungen entfernen.

Wichtig ist auch, alle bestehenden Verträge mit Cloud-Anbietern zu prüfen. Sollten diese Verträge ausschließlich auf Basis des Privacy Shields personenbezogene Daten verarbeiten, benötigen die Verträge schnellstmöglich eine Ergänzung durch die Standard-Vertragsklauseln. Diese Klauseln bilden, wie oben beschrieben, keinen hinreichenden Datenschutz. Sie stellen jedoch ein Instrument dar, um die Zeit bis zu einer finalen Regelung zu überbrücken, und wurden vom EuGH nicht grundsätzlich für ungültig erklärt.

Allgemein sollte man möglichst keine Cloud-Dienste nutzen, die personenbezogene Daten in den USA verarbeiten. Es ist wichtig, auch Sub-Unternehmer zu prüfen, um sicherzustellen, dass auch diese möglichst keine Daten in den USA verarbeiten.

Fazit und Ausblick

Trotz der vielen Unsicherheiten ist die Verarbeitung personenbezogener Daten durch US-Cloud-Dienste weiterhin erlaubt. Hierfür gilt es, passende technische und organisatorische Maßnahmen umzusetzen.

Das Urteil des EuGH zum Privacy Shield hat ein Rechtsvakuum für die Verarbeitung von personenbezogenen Daten in den USA geschaffen. Dies kann beseitigt werden, wenn sich die USA und die EU auf ein neues Rahmenwerk einigen. Aktuell ist eine schnelle Lösung dafür jedoch nicht in Sicht. In den USA müssten eine Reihe von Gesetzen geändert werden, um einen EU-konformen Datenschutz zu gewährleisten. Erschwert wird die Lage durch die allgemein ablehnende Haltung der aktuellen US-Regierung zur internationalen Zusammenarbeit. Der Druck auf die USA und die EU, eine Einigung herbei zu führen, ist jedoch enorm, denn die potenziellen wirtschaftlichen Schäden sind für beide Seiten hoch.

Sie benötigen Unterstützung bei der Überprüfung Ihrer Prozesse in Bezug auf die DSGVO? Wenden Sie sich direkt an den Experten: Stefan Müller.

Wenn Sie noch mehr zum Urteil des EuGH erfahren möchten, empfehlen wir Ihnen die Aufzeichnung unseres Webinars expertHUB online:  Der Privacy Shield ist tot – es lebe der Privacy Shield?

 

Besuchen Sie auch unser kostenloses Webinar expertHUB online: „Innovativ in der Cloud trotz Paragraphenwald!“ am 29.10.2020 um 11 Uhr mit Stefan Müller und Ole Westphal.

 

Diesen Artikel teilen: