fbpx

Privacy Shield – was muss ich ändern?

privacy shield
KEINE LUST ZU LESEN? BEITRAG ANHÖREN:

Heute spreche ich mich mit meinem Freund und Rechtsanwalt Markus über das (nervige) Thema Privacy-Shield. Im Urteil des europäischen Gerichtshofs vom 16. Juli 2020 wurde entschieden, dass dieses keinen Bestand mehr hat und der Datentransfer zwischen uns und den USA für viele von uns (die wir amerikanische Tools nutzen) zum Problem wird.

Was bedeutet das Privacy Shield?

Nadine: Hallo Markus. Erzähl uns doch mal was der europäische Gerichtshof diesen Sommer bezüglich des Datentransfers mit den USA entschieden hat, bitte?

Markus: Hallo Nadine. Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 16. Juli 2020, Rechtssache C-311/18 („Schrems II“) die Rahmenbedingungen für internationale Datentransfers neu geordnet. Danach ist das Privacy Shield – das ist ein Abkommen zwischen der Europäischen Union und den USA über den Datenschutz – für Datenübermittlungen in die USA ungültig. Unternehmen dürfen deswegen das Privacy Shield nicht mehr als Transfermechanismus nutzen, um personenbezogene Daten rechtskonform in die USA zu übermitteln. Doch die Folgen der Entscheidung haben über das Privacy Shield hinaus weitere gravierende Folgen. Zwar dürfen Unternehmen die in der Praxis besonders wichtigen EU-Standarddatenschutzklauseln („Standardvertragsklauseln“) weiterhin für Datenübermittlungen in die USA oder andere Drittländer einsetzen. Allerdings in eigener Verantwortung. Sie müssen nun eine Einzelfallprüfung durchführen, ob im Rahmen der konkreten Übermittlung personenbezogener Daten ein gleichwertiges Schutzniveau wie in der Europäischen Union (EU) gewährleistet ist.

Die von der EU für den Datentransfer zur Verfügung gestellten Standardvertragsklauseln können weiterhin von Unternehmen genutzt werden. Allerdings muss für jeden Datentransfer eine Einzelfallprüfung vorgenommen werden, der Datentransfer in die USA oder ein Empfänger-Drittland (z.B. die Schweiz) dem Datenschutzniveau der EU entspricht.

Nadine: Was bedeutet das für mich als Einzelunternehmerin?

Markus: Einfach ausgedrückt: Wenn Du einer Kundin eine E-Mail über Microsoft Outlook schickst, musst Du vorab eine Einzelfallprüfung durchführen, ob bei Microsoft in den USA ein Datenschutzniveau wie der Europäischen Union gewährleistet ist. Das dürfte regelmäßig nicht der Fall sein. Oder wenn Du beispielsweise einen Entwurf über Dropbox für eine Kundin einstellst, musst Du vorab eine Einzelfallprüfung durchführen.

Kurzum: Wenn Du Facebook, WhatsApp, Microsoft-Office usw. im Rahmen Deiner Unternehmung benutzt, musst Du dafür Sorge tragen, dass die Datenübermittlung in die USA dem Schutzniveau wie in der Europäischen Union entspricht.

Nadine: Haha, ich muss mal eben kurz lachen. Sorry…. Und wenn ich das nicht mache?

Markus: Begehst Du einen Datenschutzverstoß. Seit Einführung der Datenschutz-Grundverordnung (DSGVO) ist ein Datenschutzverstoß indiziert, wenn und solange sich der Datenverarbeiter nicht ex kopiert, also den Datenschutzverstoß widerlegt. Auch ist ein Datenschutzverstoß bußgeldbewehrt.

Nadine: Also heißt das letztlich, dass ich Programme wie Facebook, WhatsApp oder Office nicht mehr benutzen kann, da ich keine Datensicherheit bei der Übermittlung gewährleisten kann.

Markus: Genauso ist es. Das Problem ist, dass die EU seinerzeit mit dem Privacy-Shield ein Abkommen mit den USA getroffen hat, wodurch Unternehmen bis zum Urteil vom 16. Juli 2020 die Übermittlung personenbezogener Daten in die Cloud bzw. auf US-amerikanisches Server durchführen konnten.

Jetzt trägt jeder Unternehmer die Verantwortung dafür, dass das Schutzniveau entsprechend den Gesetzen der EU eingehalten. Das dürfte schlicht unmöglich sein.

Nadine: Was empfiehlt Du?

Markus: Zunächst verweise ich auf die Empfehlung der Datenschutzbehörden. Ergibt die Einzelfallprüfung, dass für die übermittelten Daten kein gleichwertiges Datenschutzniveau wie in der EU besteht, und wird dieses Defizit auch nicht durch zusätzliche Schutzmaßnahmen kompensiert, ist der betreffende Datentransfer unverzüglich einzustellen. Das Daten exportierende Unternehmen ist dann verpflichtet, die Datenübermittlung in das Drittland vorübergehend auszusetzen oder endgültig zu beenden.

Sollte das Unternehmen dennoch den Datentransfer erwägen, empfehlen die Datenschutzbehörden, die zuständige Datenschutzaufsichtsbehörde hierüber zu informieren.

DIE (ÜBERGANGS-)LÖSUNG?!

Nadine: Das klingt nicht gerade nach einer Lösung.

Markus: Ja und Nein. Um das Schutzniveau zu erhöhen, kann man beispielsweise darüber nachdenken, ein Verschlüsselungsprogramm zu verwenden. Die Datenschutzbehörden erachten dies als ausreichende Schutzmaßnahme, um ein der EU entsprechendes Datenschutzniveau zu gewährleisten. In der Praxis garantiert Verschlüsselung jedoch keine absolute Sicherheit. Kryptografische Verfahren, die heute als sicher gelten, könnten in Zukunft zu knacken sein. Zudem ist eine Verschlüsselung von Daten auch technisch nicht stets praktikabel. In den meisten Anwendungsfällen sind die übermittelten Daten nur während der Übertragungsphase verschlüsselt (sogenannte Transportverschlüsselung). Beim Empfänger liegen die Daten dann unverschlüsselt vor und sind damit potenziell staatlichen Zugriffen ausgesetzt. Wird eine sogenannte Ende-zu-Ende-Verschlüsselung eingesetzt, sind die Daten nicht nur während der Übertragung, sondern auch anschließend beim Drittlandempfänger sicher verschlüsselt.
Dies kommt beispielsweise bei Chat- und anderen Kommunikationsdiensten aber auch bei Hosting-Diensten in Betracht. In vielen Fällen kann eine Ende-zu-Ende-Verschlüsselung aber nicht eingesetzt werden, weil dies den eigentlichen Zweck der Verarbeitung beim Empfänger vereiteln würde. Sollen beispielsweise übermittelte Daten in einer cloudbasierten Softwareanwendung auf Servern im Drittland verarbeitet werden, schließen bereits technische Gesichtspunkte eine solche Verschlüsselung aus. Während der Softwarenutzung müssen die verarbeiteten Daten nämlich regelmäßig unverschlüsselt vorliegen. Zudem sind Verschlüsselungen in der Praxis oft aufwändig und mit Zusatzaufwand verbunden.

Ein weiteres probates Mittel könnte die Anonymisierung bzw. Pseudonymisierung sein. Einfacher ausgedrückt: Wenn Du etwas scannst, z.B. eine Rechnung oder ein Angebot, kannst Du die personenbezogenen Daten unkenntlich machen, indem Du z.B. Namen usw. schwärzt. Hier sehe ich allerdings das Problem, dass eine Rechnung, die in Empfänger anonymisierter, z.B. vom Finanzamt nicht anerkannt werden dürfte. Also ist auch dies nur für bestimmte Zwecke zielführend.

Nadine: Könnte ich meine Kunden nicht anschreiben und darauf hinweisen, dass ich Programme nutze, die nach derzeitiger Rechtslage nicht dem Datenschutzniveau der Europäischen Union entsprechen? Ich meine, können meine Kunden nicht in den Datenschutzverstoß einwilligen?

Markus: Der Datenschutz nach der Datenschutz-Grundverordnung ist ein absoluter Schutz, der der Regelung durch die Parteien entzogen ist. Kurz gesagt kann ich in einen Datenschutzverstoß bezüglich meiner personenbezogenen Daten nicht einwilligen.

Allerdings sieht die DSGVO Ausnahmefälle vor, in denen die Datenübermittlung ausnahmsweise zulässig ist. Und hier könnte eine Lösung liegen. Wörtlich heißt es:

Eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation sind nur unter einer der folgenden Bedingungen zulässig:

  • die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.

Ich halte dies aufgrund der derzeitigen Unsicherheit und dem gerade für kleine und mittelständische Unternehmen kaum zumutbaren Aufwand eine Einzelfallprüfung vor jeder Datenübermittlung für einen praktikablen Weg.
Denn wenn ich meine Kunden darüber aufkläre, dass ich bestimmte Programme verwende, die nach dem Urteil des 16. Juli 2020 eine risikoreiche Datenübermittlung bezogen auf die personenbezogenen Daten darstellt, dann kann ich Sie vorab zumindest darüber aufklären.
Wenn mein Kunde dann sagt, er ist damit ausdrücklich einverstanden, dass auch weiterhin z.B. über Microsoft Office oder Dropbox personenbezogene Daten übermittelt werden, dann habe ich zumindest Vorsorge dafür getroffen, dass der Datenschutzverstoß mit Einwilligung des Betroffenen geschieht. Ob die Datenschutzbehörden diese Vorgehensweise billigen werden, kann derzeit allerdings noch nicht abgeschätzt werden.

Nadine: Das ist dann aber immerhin etwas, mit dem man weiterhin arbeiten kann. Gibt es noch weitere Auswirkungen des Urteils, z.B. für das Impressum?

Markus: Ein Impressum, welches für die Datenübermittlung personenbezogener Daten in die USA sich auf Privacy-Shield beruft,  ist nach meiner Ansicht unwirksam. Man sollte deswegen tunlichst die eigene Formulierung im Impressum prüfen und gegebenenfalls den entsprechenden Abschnitt herausnehmen.

Nadine: Und wie geht´s nun weiter? Irgendwie sind ja alle nun kein bisschen schlauer sondern lediglich verunsicherter als bisher.

Markus: Ich denke, die Europäische Union wird zeitnah Neuverhandlung mit den USA aufnehmen müssen, um Unternehmen eine Rechtsgrundlage dafür anzubieten, wie in Zukunft Datenübertragung in die USA und Empfänger Drittländer rechtlich abgesichert werden kann. Ob dies gelingt und ob ein solches Abkommen am Ende vor dem europäischen Gerichtshof Bestand hat, kann nicht mit Sicherheit abgeschätzt werden.

Nadine: Vielen Dank Markus für Deine Einschätzung zu den Auswirkungen zum Privacy-Shield. Ich gehe davon aus, dass dies nicht die letzte Folge zu diesem Thema  gewesen sein wird.

Markus:  Sehr gerne und bis zum nächsten Mal.

Was muss ich nun tun?

Zuallererst einmal – nicht hyperventilieren!

Das bringt niemanden weiter.

  1. Gehe auf deiner Website auf die beiden Unterseiten Impressum und Datenschutzerklärung und
  2. suche dort nach den Begriffen “Privacy Shield”. Am einfachsten geht das mit dem Shortcut STRG+F (bzw auf dem MAC cmd + Leertaste).
  3. Alle Sätze, die sich auf das Privacy Shield beziehen, haben keine Relevanz mehr und müssen entsprechend angepasst/entfernt werden.

Hinweis:
Noch ein kleiner Hinweis am Rande. Bitte vergiss nicht, dass alle meine Inhalte keine Rechtsberatung darstellen. Meine Gäste und ich berichten lediglich über unsere Erfahrungen und geben dir persönliche Tipps. Wenn du allerdings auf der Suche nach rechtlicher Unterstützung bist, hör dir gerne die Folgen mit meinem Freund und Anwalt Markus an, um zu sehen, ob er dir vielleicht sympathisch ist und ihr zusammenarbeiten wollt. Und falls ja, schreib mir eine Mail an nadine@mama-business.de  oder buche einen kostenlosen Kennenlern-Termin mit Markus.

Dir hat gefallen, was du gelesen hast? Teile es gern!
ZUM BLOG