Zum Inhalt

Daten in die USA: Privacy Shield und alles ist Gut?

Oftmals stellt sich die Frage, ob denn nun personenbezogene Daten in die USA (zBsp. zu einem Cloud Service Provider) übertragen werden dürfen.
Und ja, es gibt die Möglichkeit, und zwar dann, wenn der Anbieter sich dem Regelwerk des Privacy Shield Abkommens unterwirft.

Worum handelt es sich dabei:
Das Privacy Shield ist ein Abkommen zwischen der Europäischen Union, bzw. der Europäischen Kommission und den USA – konkret dem US Handelsministerium.
US Unternehmen können vor dem US Handelsministerium erklären, sich an die Inhalte dieser Vereinbarung zu halten. Dadurch erwerben diese Unternehmen das Recht, das Privacy Shield Siegel zu führen und die Datenverarbeitung von europäischen Daten bei diesen US Unternehmen ist formal möglich.

Noch.

Und da ist er, der Haken an der Sache.
Das Privacy Shield Abkommen soll den US Datenschutz auf ein Europäisches Niveau heben. Spätestens seit der Wirksamkeit der DSGVO wurde global klar, dass in Europa strenge Datenschutzregeln existieren und durchgesetzt werden – bereits jetzt mit weltweiten Auswirkungen.
Das Privacy Shield Abkommen wurde 2017 geschlossen, und zuvor sehr hektisch in nur wenigen Monaten erstellt. Das Schutzniveau dieses Abkommens wird immer wieder angezweifelt. Die Hektik hatte einen Grund: Den österreichischen Juristen Max Schrems. Dem ist es nämlich gelungen, die Vorgängervereinbarung Safe Harbour (Sicherer Hafen) vor dem EuGH zu kippen.

Was war die Folge:
Alle Datentransfers personenbezogener Daten aus Europa hin zu US Anbietern hingen rechtlich in der Luft – es gab kein Regularium mehr, welches diesen Datenaustausch legitimiert hätte.

So viel zur IT Rechtsgeschichte. Und warum soll uns das interessieren?
Weil aktuell das Privacy Shield Abkommen wieder unter massivem (rechtlichen) Beschuss steht. So hat das EU Parlament im Juli mit Mehrheitsbeschluss die Kommission angewiesen, das Privacy Shield gravierend nachzubessern um einen besseren Datenschutz zu ermöglichen. Zwar wird die Ankündigung des US Gesetzgebers, ein neues Gesetz zu den Themen Datenschutz und Privatsphäre zu erarbeiten begrüßt. Weniger begeistert zeigt sich das EU Parlament über den im März verabschiedeten US Cloud Act. Dieser erlaubt US Behörden den Zugriff auf Daten von US Unternehmen auch dann, wenn sich diese Daten außerhalb der USA befinden.
Auch die Europäischen Datenschutzbehörden (Artikel 29 Gruppe) haben bereits 2017 das Abkommen scharf kritisiert.
Das Parlament will so weit gehen, das Abkommen auszusetzen, sollte es nicht gelingen, das Schutzniveau auf Europäisches Niveau zu heben. Und zwar noch in diesem Jahr.

Und welche praktischen Auswirkungen hätte dies?
Es kann also gut passieren, dass auch das Privacy Shield abkommen quasi über Nacht in nichts aufgelöst wird. Und somit die Verarbeitung europäischer personenbezogener Daten in den USA keine Rechtsgrundlage mehr hat.
Gut, kann man auch mit einem Schulterzucken parieren – denn so einfach und schnell kann man den Anbieter nicht wechseln und „es macht eh Jeder so“. Allerdings, nur weil es „alle“ machen, bedeutet das noch nicht, dass es rechtskonform ist. Und auch nicht, dass der Verantwortliche lt. DSGVO (in den meisten Fällen also ein Unternehmen innerhalb der EU) zur Rechenschaft gezogen werden kann. Mit der Konsequenz, dass sich die Verantwortliche Organisation in kurzer Zeit in einem sehr komplexen Rechtsfall wiederfinden kann.

Ja.., und was machen wir jetzt?
Meiner persönlichen Meinung (keine Rechtsberatung, bin kein Anwalt) nach gilt es zuerst zu prüfen, ob es denn einen alternativen Anbieter innerhalb der EU/EWR für die gewünschte Lösung gibt. Wenn tatsächlich keine EU-Lösung gefunden werden kann, gilt es den US Partner und den gewünschten Dienst genauer zu durchleuchten. Basieren die Datenschutzklauseln allein auf den Privacy Shield (oder gar noch Safe Harbour) Regelwerken, gilt es dies entweder nachzuverhandeln oder schon vorsorglich auf eine Beobachtungsliste zu setzen – falls das Abkommen tatsächlich fällt.
Eine Risikofolgenabschätzung und eine gute, DSGVO taugliche Argumentation zur Verwendung des Dienstes auch ohne aufrechtem Abkommen sollte man sich schon zurechtlegen. Auch wenn das schwierig sein dürfte.
Auf den Vertrag kommt es an.

Es gibt allerdings auch Anbieter, wie zum Beispiel Microsoft, welche in den Nutzungsbedingungen zusätzliche, von Privacy Shield unabhängige, Regelwerke eingebaut haben. Microsoft nennt diese meist OST (Online Service Terms).
Aber Achtung: Es ist nicht gesagt, dass diese Klauseln für ALLE Dienste des Anbieters gelten! Es müssen also die jeweiligen Verträge geprüft werden! Also jene Vertragswerke, welche meist durch setzen eines Häkchens bei der Inbetriebnahme oder einem Update angenommen werden.
Meiner Meinung nach macht es also Sinn, sich nur dann eines US Anbieters zu bedienen, wenn man diesem auch zutrauen kann, rechtzeitig auf die rechtlichen Entwicklungen zu reagieren.
Also durchaus ein Thema, das es sich lohnt genauer zu verfolgen und die Entwicklungen zu beobachten!

Am Laufenden bleiben – und für Infomail registrieren!

 

Published inAllgemein

YouTube aktivieren?

Auf dieser Seite gibt es mind. ein YouTube Video. Cookies für diese Website wurden abgelehnt. Dadurch können keine YouTube Videos mehr angezeigt werden, weil YouTube ohne Cookies und Tracking Mechanismen nicht funktioniert. Willst du YouTube dennoch freischalten?