Datenschutz und Privacy Shield – was muss ich jetzt beachten, wann bin ich betroffen?

07 Aug

  • in DSMS
  • von
  • 0

Das neue EuGH Urteil zum Datenschutzabkommen „Privacy Shield“ zwischen den USA und der Europäischen Union hat wieder die Frage aufgeworfen, unter welchen Umständen eine Datenübertragung in nicht-EU-Länder überhaupt möglich ist. Außerdem ist zu klären, wen dieses Urteil überhaupt betrifft und was jetzt konkret zu tun ist.

Wir wollen in diesem Artikel nicht das eigentliche Verfahren kommentieren, das vor dem EuGH zur Verhandlung kam, sondern konkrete Fragen beantworten, Konsequenzen aufzeigen und Handlungsmaßnahmen für alle Anwender vorschlagen.

 

  1. Für wen ist das Urteil relevant?

Das europäische Datenschutzrecht sieht vor, dass jegliche Verarbeitung von personenbezogenen Daten mit einigen wenigen Ausnahmen unter die Datenschutzgrundverordnung fällt. Ausgenommen sind der enge familiäre Lebensbereich, aber unter anderem auch journalistische Tätigkeit. In Vereinen oder auch bereits in Elterngruppen gilt das Datenschutzrecht. Und es betrifft natürlich auch Einzelunternehmer oder wie man heute so schön sagt „Soloselbständige“.

Dabei wird grundsätzlich zwischen zwei „Rollen“ unterschieden: Das eine ist die verantwortliche Stelle, die also festlegt, welche Daten zu welchem Zweck verarbeitet werden, und das andere ist der sogenannte „Verarbeiter“. Letzteres bezeichnet eine andere (Rechts-)Person, die im Auftrag personenbezogene Daten verwertet.

Verarbeiten und verwerten wird hier übrigens sehr weit gefasst und betrifft den gesamten Lebenszyklus vom Erheben, über das Speichern, Archivieren bis zum Löschen von personenbezogenen Daten. Also auch wenn personenbezogene Daten „nur“ gespeichert und abgelegt werden sollen, fällt dies unter Verarbeitung im Sinne des Gesetzes.

Bleibt noch die Frage, wann wir von personenbezogenen oder besser personenbeziehbaren Daten sprechen. Dazu gibt es einige Quellen – das Gesetz und on top die laufende Rechtsprechung. Klar sind Daten wie Namen, Adressen, Geburtsdaten usw. aber auch Daten, die eine Identifikation einer Person zulassen, fallen unter das Datenschutzrecht. Das können auch IP-Adressen sein oder Positionsdaten.

Fazit: Das Gesetz betrifft also alle, die Daten, außerhalb der Familie und weniger Arbeitsbereiche, auf Nicht-EU-Servern speichern oder ins außereuropäische Ausland versenden.

 

  1. Wann erfolgt eine Übertragung (ein Transfer) von personenbezogenen Daten?

Zuerst müssen wir festhalten: innerhalb der EU und des europäischen Wirtschaftsraumes dürfen personenbezogene Daten im Rahmen des gesetzlich Zulässigen frei übertragen werden. Wenn Sie einen Vertrag schließen mit einem, sagen wir, in Irland ansässigen Unternehmen, um dort z.B. Speicherplatz für Dateien zu mieten, dann ist diese Datenübertragung völlig im Einklang mit dem Datenschutzrecht. Etwas strittig ist zwar die Frage, ob dieses Unternehmen in Irland auch dann zum Verarbeiter wird, wenn es in der Regel gar keinen Zugang zu den Dateien nutzt. Aber, wenn der Provider zumindest die technische Möglichkeit des Zugriffs hat, könnte nach gängiger Auffassung also eine sogenannte Auftragsverarbeitung vorliegen.

Was gilt aber, wenn dieses Unternehmen in Irland die Tochter eines Unternehmens in Kanada ist? Das wäre dann auch kein Problem, weil Kanada, neben Island, der Schweiz, Israel, Argentinien und einigen weiteren Ländern ein der EU vergleichbares Datenschutzniveau besitzt. Dorthin dürfen Daten auch übertragen werden. Dann wäre es sogar egal, ob die Server in Irland oder direkt in einem dieser Länder stehen. Mit Japan wurde das bisher umfassendste Abkommen dieser Art geschlossen, was sogar in beide Richtungen funktioniert. Also dürfen auch japanische Daten ohne weitere Einschränkungen in der EU gespeichert oder verarbeitet werden. Aber: Es muss trotzdem sichergestellt sein, dass die personenbezogenen Daten erhoben und verarbeitet werden dürfen und, dass die Übertragung der Daten im Verarbeitungsprozess nötig ist. Hier zum Beispiel, weil Sie den Speicherplatz eines Dienstleisters nutzen möchten. Eine vertragliche Regelung zur Auftragsverarbeitung sollte trotzdem geschlossen werden.

Fazit: Bereits das Speichern von Daten auf ausländischen Servern gilt als Datenübertragung, selbst wenn das Unternehmen, dessen Server dafür genutzt wird, nur theoretisch auf die Daten zugreifen könnte, es in der Praxis aber nicht tut.

Nicht davon betroffen sind Systeme, die in der EU beheimatet sind, aber auch in Ländern wie Kanada, Island, Schweiz, Israel und andere, die ein mit der EU vergleichbares Datenschutzniveau besitzen.

 

  1. Was hat sich für den Datenaustausch mit den USA nun geändert?

Wenn in unserem Beispiel die Daten auf einem in den USA gehosteten System gespeichert werden sollen, war bisher die für US-Unternehmen freiwillige Registrierung beim EU-US Privacy Shield eine Möglichkeit um zu zeigen, dass Sie ein Datenschutzniveau einhalten, das den EU-Vorgaben entspricht. Genau diese Regelung fällt nun weg. Also müssten derzeit gesonderte Verträge geschlossen werden, deren Wortlaut exakt durch die Datenschutzbehörden vorgegeben sind. Deshalb heißen diese Standardvertragsklauseln. Die dürfen auf keinen Fall abgeändert werden, da sonst die Wirkung entfällt. Also brauchen wir im Falle der USA einen solchen Vertrag, der von beiden Seiten unterzeichnet werden muss. Entscheidend ist aber auch, dass nur das Papier alleine nicht genügt. Der Auftraggeber muss sich VOR der Unterzeichnung vergewissert haben, dass das Unternehmen in den USA in der Lage ist, die Standardvertragsklauseln einzuhalten. Und diese Prüfung muss regelmäßig auch während der Vertragslaufzeit durchgeführt werden.

Viele Dienstleister stellen dazu sicherlich gerne eigene Prüfberichte zur Verfügung. Ob dies aber reichen würde, um einem Auftraggeber Gewissheit zu geben, darf stark bezweifelt werden. Also: im Zweifel selbst in die USA fliegen oder dort vergewissern. Regelmäßig 😉

Ein bitterer Beigeschmack bleibt aber immer, sobald das Mutterunternehmen Ihres Datenhosts in den USA sitzt: Ein US-Unternehmen muss auf Aufforderung Daten an Ermittlungs- und Heimatschutzbehörden übergeben. Dieser Zugriff lässt sich überhaupt nicht ausschließen, egal wie gut Ihr Vertrag ist und wie oft sie persönlich in die USA fliegen, um alles zu prüfen. Verantwortlich wäre jetzt das Unternehmen in Irland, mit dem Sie einen Vertrag haben (nach EU-Recht) sicher zu stellen, dass in den USA kein Zugriff auf die Daten geschieht, der EU-Recht widerspricht. Das ist schlicht und ergreifend derzeit nicht darstellbar, außer wir trennen die Datenhaltung rigoros. Aber auch dann gibt es noch den CLOUD Act, der Töchter von US-Unternehmen verpflichtet, auch außerhalb der USA mit Ermittlungs- und Heimatschutzbehörden zusammenzuarbeiten. Eine gute Lösung gibt es nach unserer Meinung deshalb derzeit kaum.

Fazit: Sie brauchen Verträge mit exakt vorgegebenen Wortlauten, die von der Datenschutzbehörden vorgegeben sind und müssen deren Einhaltung selbst bereits im Vorfeld prüfen. Aber trotz Verträgen sind die Daten niemals sicher vor den US-Ermittlungs- und Heimatschutzbehörden.

 

  1. Was soll ich also tun, wenn ich Cloud-Lösungen von Apple, Microsoft oder Dropbox nutze?

Apple, Microsoft und Dropbox sind alles Unternehmen, die ihren Mutterkonzern in den USA haben. Um sicherzugehen, dass alles mit datenrechten Dingen zugeht und auch der Zugriff durch US-Behörden unterbunden werden soll kann es empfehlenswert sein, Alternativen zu prüfen. Dazu beraten wir Sie gerne!

Bildnachweis: Symbol for a decision of the European Court of Justice. The German abbreviation „EuGH“ (stands for European Court of Justice ECJ) written on cubes placed on a newspaper. Getty Image auf Canva

 

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.