Vor zwei Wochen entschied Europas oberstes Gericht, dass das Abkommen zwischen den USA und der Europäischen Union zum Datenaustausch ungültig sei. In dem Urteil des Europäischen Gerichtshofs äußerten die Richter Bedenken, dass die Privacy Shield-Zertifizierung die Daten europäischer Bürger nicht angemessen vor den Überwachungsaktivitäten der USA schützt, so wie sie in der EU geschützt seien.
Die Ursprünge des Falles gehen zurück auf eine Beschwerde des Österreichers Maximilian Schrems, der eine Klage gegen Facebook einreichte, die schließlich dazu führte, dass der Europäische Gerichtshof das transatlantische US-EU-Safe-Harbor-Abkommen aufhob, das Unternehmen die Übertragung von Daten von Europa in die Vereinigten Staaten ermöglichte.
Der EU-US-Privacy Shield, der 2016 geschaffen wurde, um das Safe-Harbor-Abkommen zu ersetzen, bot einen stärkeren Schutz für die persönlichen Daten von EU-Bürgern, wenn sie in die USA übertragen wurden. Schrems ging auch damit vor Gericht, und letzte Woche hat der EU-Gerichtshof es ebenfalls aufgehoben.
Konkret stellte das Gericht fest, dass das das von der DSGVO, der allgemeinen Datenschutzverordnung der EU, geforderte Schutzniveau nicht gewährleistet würde. In den Vereinigten Staaten hätten die Interessen der nationalen Sicherheit, des öffentlichen Interesses und der Strafverfolgung Vorrang vor den grundlegenden Datenschutzrechten, die innerhalb der EU durch die DSGVO garantiert werden.
Die Entscheidung läßt jedoch Standardvertragsklauseln als geeigneten Mechanismus für weitere Datentransfers zu, vorbehaltlich einer Einzelfallprüfung dieser Klauseln.
Auswirkungen
Es sind ca. 5.000 Unternehmen, die sich dem Privacy Shield angeschlossen haben - einem Selbstzertifizierungsprozess, der vom US-Handelsministerium verwaltet wird.
Die unmittelbarste Konsequenz ist, dass der Datenschutzschild keine gültige Rechtsgrundlage mehr für die Weiterleitung von Daten zwischen der EU und den USA ist, und daher können Unternehmen im Falle der Nichteinhaltung den in der DSGVO-Verordnung festgelegten Durchsetzungsmechanismen der EU unterliegen.
Nun könnte man beruhigt sein, spielt das doch für die meisten von uns keine Rolle, da wir als Unternehmen mit unseren Dienstleistern ohnehin eine vertragliche Regelung - die erwähnten Standardvertragsklauseln - aufgesetzt haben, die der Weiterleitung zustimmt.
Die Entscheidung des EuGH verlangt jedoch von uns Unternehmen, das Datenschutzniveau im Land des Datenempfängers zu bewerten und die Übermittlung auszusetzen, wenn sie als nicht angemessen erachtet wird. Außerdem wird die starke Verpflichtung der einzelnen Datenschutzbehörden in allen EU-Mitgliedstaaten unterstrichen, die Übermittlung personenbezogener Daten auszusetzen, wenn sie diese gemäß den EU-Datenschutz-Vorschriften für unsicher erachten. In Anlehnung an andere EU-Präzedenzfälle, wie das Recht, vergessen zu werden, und die EU-Kartellrechtsfälle, drängt die EU auf die Durchsetzung ihrer Sichtweise der Privatsphäre, die sich zum weltweiten Standard entwickeln soll.
Wie gehen wir damit um? Wir prüfen wie alle anderen Unternehmen unsere Dienstleisterverträge, um zumindest die Risiken im Auge zu behalten. Bei der Auswahl oder Umstellung auf neue Anbieter haben wir schon immer für die Datenhaltung in der EU plädiert, viele Softwareunternehmen bieten dies an oder lassen sich im Rahmen des Kaufprozesses zu einer Datenhaltung zumindest der persönlichen Daten in der EU bewegen. Wir erwarten, dass dieser Trend zunimmt.