Das Privacy Shield ist gefallen – worauf deutsche Unternehmen nun achten müssen

Jetzt Artikel teilen:

Viele Unternehmen stehen aktuell vor der Frage, was das Kippen des Privacy Shields für ihren Datenverkehr bedeutet. Inwiefern ist die eigene Cloud-Lösung davon betroffen und drohen am Ende sogar Strafen? Wir haben mit dem Experten für IT-Recht Dr. Thorsten Hennrich gesprochen.

Hallo, Thorsten. Vielen Dank, dass Du uns heute ein paar Fragen zum Thema Privacy Shield beantwortest.

Der Europäische Gerichtshof (EuGH) hat im Fall „Schrems II“ das EU-U.S. Privacy Shield für ungültig erklärt. Dies bedeutet, dass personenbezogene Daten nicht mehr auf dieser Grundlage in die USA übermittelt werden dürfen. Hat Dich dieses Urteil überrascht?

Das Urteil hat mich überhaupt nicht überrascht. Im Gegenteil, in Datenschutz-Fachkreisen sind wir schon lange vor dem Urteil davon ausgegangen, dass das Privacy Shield einer Prüfung durch den EuGH nicht standhalten würde. Die wiederholten Kritiken an dem Privacy Shield ließen im Ergebnis eigentlich keinen anderen Ausgang erwarten. Denn wie schon der Vorgänger – die „Safe-Harbor-Vereinbarung“, die vom EuGH im Jahr 2015 gekippt wurde – ist auch das Privacy Shield das Ergebnis eines politischen Kompromisses gewesen.

Zwar wies das Privacy Shield im Vergleich zu Safe Harbor durchaus einige Verbesserungen auf. Ein angemessenes Datenschutzniveau und mithin einen ausreichenden Schutz für die personenbezogenen Daten von EU-Bürgern konnte es aufgrund der verbleibenden Eingriffsbefugnisse von US-Sicherheitsbehörden im Ergebnis aber auch nicht gewährleisten.

pluscloud

pluscloud - Die Cloud Lösung aus Europa

Erfahren Sie mehr über Datensouveränität in der Cloud in zertifizierten deutschen Rechenzentren.

Infosheet gratis downloaden

Was bedeutet das nun für deutsche Unternehmen? Wofür wurde Privacy Shield bislang primär genutzt?

Deutsche Unternehmen haben nun ihre internationalen Datentransfers auf den Prüfstand zu stellen und sie mit den Anforderungen des Schrems-II-Urteils in Einklang zu bringen. Insbesondere bei dem Einsatz von EU-Standardvertragsklauseln sollten deutsche Unternehmen die Einhaltung eines Schutzniveaus bei einem Datentransfer an einen Empfänger in einem Drittland neu überprüfen und bewerten. Das Ergebnis dieser Überprüfung sollte zudem festgehalten werden, um es Datenschutzbehörden auf Verlangen nachweisen zu können.

Von dem Urteil sind aufgrund der verschärften Anforderungen an die EU-Standardvertragsklauseln aber nicht nur Datentransfers an Empfänger in den USA betroffen, wie zum Beispiel bei der Nutzung von Cloud-Diensten großer IT-Anbieter mit Rechenzentren in den USA. Das Urteil hat auch erhebliche Auswirkungen auf Datentransfers an Empfänger in Drittländern wie Russland, China oder Indien, die auf Grundlage der EU-Standardvertragsklauseln erfolgen.

US-Transfers auf Basis des Privacy Shields sind nun rechtswidrig.

Mit Blick auf US-Transfers auf Basis des Privacy Shields ist für betroffene Unternehmen jedenfalls Eile geboten, denn diese Datentransfers sind nun rechtswidrig. Das Privacy Shield stellte bei einem an dem Programm teilnehmenden US-Datenempfänger ein „angemessenes Datenschutzniveau“ sicher. Betroffene Unternehmen, die personenbezogene Daten bisher allein auf Basis des Privacy Shields an einen Empfänger in den USA übermittelt haben, müssen sich nun schnellstmöglich nach zulässigen Alternativen umsehen. Vor allem andere Garantien im Sinne von Art. 46 DSGVO – denn das Urteil des EuGH hatte sofortige Wirkung und das Privacy Shield wurde ohne Übergangsfrist für ungültig erklärt.

Nach europäischem Datenschutzrecht ist eine Übermittlung personenbezogener Daten an Empfänger außerhalb von EU und EWR nur zulässig, wenn dort ein zu europäischen Datenschutzstandards äquivalentes Datenschutzniveau vorhanden ist. Ein solches angemessenes Datenschutzniveau hat die EU-Kommission zwar für verschiedene Drittstaaten (u.a. für die Schweiz, Argentinien, Neuseeland, Kanada) festgestellt, aber eben nicht für die USA.

Gibt es überhaupt so etwas wie Datenschutz in der US-Cloud? Was für Möglichkeiten bestehen denn sonst noch, um Daten datenschutzkonform zu verarbeiten?

Die weitreichenden Eingriffsbefugnisse von US-Sicherheitsbehörden sind das Ergebnis unterschiedlicher Auffassungen von „privacy“ diesseits und jenseits des Atlantiks. Das unterschiedliche Verständnis ist historisch gewachsen. Da sich die Eingriffsbefugnisse von US-Behörden bei der Nutzung einer Cloud in den USA nicht vollständig ausschließen lassen, ist es in der Praxis nicht so einfach, die dortige Verarbeitung personenbezogener Daten von EU-Bürgern in Einklang mit europäischen Datenschutzgrundsätzen zu bringen.

Herausforderungen bestehen auch in Bezug auf US-Anbieter mit Rechenzentren außerhalb der USA, die dem „US CLOUD Act“ unterliegen. Da es derzeit noch nicht absehbar ist, wie sich die Situation in Bezug auf einen Privacy-Shield-Nachfolger politisch entwickeln wird, ist es Unternehmen – für die Datenschutz und Datensicherheit sehr wichtig ist – auf jeden Fall zu empfehlen, bevorzugt auf die Leistungen europäischer Cloud-Service-Provider mit Rechenzentren in der EU zurückzugreifen. Denn wenn die personenbezogenen Daten von EU-Bürgern in der EU verbleiben, stellen sich die rechtlichen Fragen in Bezug auf internationale Datentransfers erst gar nicht.

Denkst Du, das Abkommen wird schnell erneuert oder müssen wir uns auf langwierige Verhandlungen einstellen?

Der Ball liegt nun bei der Politik. EU-Kommission und US-Handelsministerium werden – wie sie es auch schon Ende 2015 getan haben, als die „Safe-Harbor-Vereinbarung“ gekippt wurde – in neue Verhandlungen eintreten müssen. Nach dem „Safe Harbor“-Urteil im Jahr 2015 war man recht schnell und hat schon binnen weniger Monate das Privacy Shield als Nachfolger aus dem Hut gezaubert. Ob sich ein weiterer Nachfolger nun ebenso schnell auf die Beine stellen lässt, bleibt abzuwarten. Beide Seiten werden das Urteil zunächst zu analysieren haben. Aufgrund der engen wirtschaftlichen Beziehungen und der dadurch hohen Bedeutung von transatlantischen Datentransfers in die USA ist es jedoch wünschenswert, dass es alsbald ein Folgeabkommen geben wird.

Was werden die Datenschutzbehörden tun?

Zahlreiche deutsche Datenschutzbehörden haben sich mittlerweile zu dem Schrems-IIUrteil geäußert. Auch der Europäischen Datenschutzausschluss hat eine Stellungnahme veröffentlicht. Es ist daher zu erwarten, dass Datenschutzbehörden schon sehr bald beginnen werden, die Rechtmäßigkeit von Datentransfers auf Basis der Standardvertragsklauseln und hierbei insbesondere die Einhaltung der neuen Anforderungen für Transfers in Drittländer zu überprüfen.

Das Urteil wird den Bau von Rechenzentren in Europa ankurbeln. Auch die ausländischen Hyperscaler werden in Europa verstärkt als Betreiber auftreten. Inwieweit wird das den europäischen Binnenmarkt beeinflussen?

Das Urteil ist aus europäischer Sicht ganz klar eine Stärkung des Standorts Europa und des EU-Binnenmarkts, in dem die DSGVO für alle EU-Mitgliedstaaten ein einheitliches Datenschutzniveau sicherstellt. Sowohl europäische als auch außereuropäische Unternehmen werden die Situation nach dem Urteil jetzt genau analysieren und, wo es vorteilhaft erscheint, natürlich auch ihre Strategien in Bezug auf ihre jeweiligen Datenverarbeitungsstandorte neu ausrichten.

Last but not least: Ändert sich durch das Kippen der Vereinbarung etwas für die plusserver-Kunden?

Für unsere bestehenden Kunden in unseren deutschen Rechenzentren bleibt alles beim Alten. Da das Urteil den Standort Europa stärkt, zeigt sich, dass die Entscheidung unserer Kunden, Daten innerhalb der EU und nicht an internationalen Destinationen zu verarbeiten, richtig war. Wir sind daher zuversichtlich, mit unserem europäischen Lösungsansatz auch weitere Unternehmen für die zahlreichen Leistungen in einem unserer zertifizierten Rechenzentren in Deutschland gewinnen zu können – etwa im Rahmen unserer pluscloud-Lösungen.

Vielen Dank, Thorsten, für die Erläuterungen.

Unser Interviewpartner

Dr. Thorsten Hennrich ist General Counsel und Leiter Recht beim Managed Cloud Service Provider plusserver.

Erfahren Sie hier mehr über die europäische pluscloud.

Titelbild von mohamed Hassan auf Pixabay

Jetzt Artikel teilen:

Das könnte Sie auch interessieren