Privacy Shield weg – Was jetzt?

Foto: jijomathaidesigners/Shutterstock

Was ist das Privacy Shield?

Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) eine Grundsatzentscheidung getroffen. Dabei wurde das Privacy Shield für ungültig erklärt. Was es damit genau auf sich hat und wie sich das auf unsere Kunden auswirkt, erklären wir Ihnen hier.

Unternehmen in Europa müssen insbesondere personenbezogene Daten schützen. Dabei gilt ein erhöhter Sicherheitsstandard, welcher in den Grundrechten der Europäischen Union verankert wurde (europäisches Datenschutzrecht). Darin enthalten sind die EU-Datenschutz-Grundverordnung (DSGVO), ePrivacy-Verordnung (ePrivacy-VO), ePrivacy-Richtlinien sowie die Universaldienstrichtlinien.

Für deutsche Unternehmen gilt ebenfalls das nationale Datenschutzrecht, welches im Bundesdatenschutzgesetz (BDSG), sowie in diversen weiteren deutschen Gesetzen verankert ist. Mehr dazu finden Sie hier.

Auf Grund der strengen datenschutzspezifischen Restriktionen für europäische und insbesondere deutsche Unternehmen wurde in der Vergangenheit versucht einen ähnlichen Schutzstandard beim internationalen Datenverkehr sicherzustellen. Es wurde festgelegt, dass ein Transfer von personenbezogenen Daten aus dem europäischen Raum in Drittländer nur zulässig ist, wenn ein angemessener, gleichwertiger Schutz garantiert werden kann (DSGVO).

Das Privacy Shield sollte demnach eine solche Garantie für den Datenfluss in die USA darstellen. Mit dem o.g. Urteil stellte der EuGH nunmehr fest, dass das Privacy Shield aufgrund des geltenden Rechts in den USA keine ausreichenden Garantien für die Bürger der Europäischen Union bietet, da

 „den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, […] da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind [und] kein Rechtsweg zu einem Organ eröffnet ist, das Garantien böte, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären.“

Schlussfolgernd existiert keine Rechtsschutzmöglichkeit gegenüber amerikanischen Sicherheitsbehörden um die Daten von Bürgern/-innen der Europäischen Union ausreichend zu schützen. Das Fehlen dieses Rechtsschutzes ist ein Verstoß gegen die Garantien der DSGVO, demnach ist eine Übermittlung personenbezogener Daten gemäß Privacy Shield nicht zulässig. Der EuGH hat die Garantiemöglichkeit der Standardvertragsklauseln für gültig erklärt, jedoch nur, wenn gewährleistet werden kann,

„dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und dass auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist.“

Damit scheiden – zumindest für einen Datentransfer in die USA – auch die Standarddatenschutzklauseln aus. Auch sie können die amerikanischen Rechtsvorschriften nicht aushebeln.
Als Reaktion darauf haben amerikanische Unternehmen damit begonnen, Daten ihrer europäischen Kunden/-innen ausschließlich auf Servern in Europa zu speichern. Dies ist allerdings nicht ausreichend, da gemäß § 2713 des “Stored Communications Act“ Daten herausgegeben werden, wenn sie sich

„im Besitz, in der Verwahrung oder unter der Kontrolle dieses Anbieters befinden, […] unabhängig davon, ob sich diese Kommunikation, Aufzeichnung oder sonstigen Informationen innerhalb oder außerhalb der Vereinigten Staaten befinden.“

Die Nutzung von Dienstleistungen und Software amerikanischer Anbieter ist damit zum aktuellen Zeitpunkt nicht rechtssicher möglich.

Unser Ergebnis

Denken Sie im Sinne des Kunden und erheben Sie nur die Daten, die Sie zur Steuerung Ihres Geschäfts auch benötigen. Versuchen Sie, weitestgehend auf cloudbasierte, internationale Lösungen mit einem möglichen Datentransfer in ein Drittland zu verzichten. Wir gehen davon aus, dass sich die europäischen Datenschutzmaßnahmen weiter verschärfen werden.

Viele Unternehmen setzten heutzutage auf internationale Softwarekonzerne. Insbesondere Google, Facebook, AWS etc. werden hier thematisiert. Häufigste Aussagen unserer Kunden sind, dass deren Technologien meist einfach zu implementieren sind, innovative Funktionsumfänge beinhalten und kostengünstig angeboten werden. Den meisten Webseitenbetreiben erscheint es so, als ob Sie durch die DSGVO nun benachteiligt werden und durch kostenintensive Legal-Prozesse letztlich drauf zahlen. Auslöser hierfür ist insbesondere, dass bei der Auswahl der Software kein Gedanke über die Fürsorgepflicht der Kundendaten verschwendet wurde. Heutzutage ist es sehr einfach eine AWS einzurichten, eine Big Data Solution zu implementieren und diese mit Daten aus der Webseite zu befeuern. Leider weiß am Ende keiner mehr, wer auf welche Daten und wie Zugriff hat. Genau dies versucht die DSGVO zu vermeiden. Und meist kommen wir genau hier ins Spiel, um die Unternehmen dabei zu unterstützen ein DSGVO-konformes und nachhaltiges Data-Management aufzubauen. Schlussfolgernd empfehlen wir vorsorglich, präventiv und vorausschauend Ihre Datenstrategie umzusetzen. 

DSGVO-konformes Webtracking

Finden Sie den passenden Partner für Ihr Webtracking!

Was ist ein Data Warehouse?

Foto: globalperson/Shutterstock DWH – Single Source of Truth Das Data Warehouse ist das zentrale System, welches zu Analysezwecken im Unternehmen eingesetzt wird. Dessen Prozesse extrahieren,

Weiterlesen »
DSGVO-konforme "Cookiebanner"

DSGVO-konforme „Cookiebanner“

Foto: Datenschutz-Stockfoto/Shutterstock Im Zusammenhang mit Online-Diensten wird oftmals der Begriff Tracking verwendet. Dieser ist allerdings im Datenschutzrecht nicht definiert. Im Wesentlichen wird darunter vereinfacht die

Weiterlesen »
Subscription Management mit PYM

„Make or Buy“ Subscription Management

Foto: PopTika/Shutterstock Was ist „Subscription Management“? Abo-Modelle sind eine beliebte Methode für Unternehmen eine langfristige Kundenbindung zu gewährleisten. Dabei werden heutzutage eine Vielzahl von Angeboten

Weiterlesen »