Datenschutz & IT

Europa steht im Regen – ohne Privacy Shield keine Rechtssicherheit mehr für Datenübermittlung

Am 16. Juli war ein bedeutender Tag für Europa, den Datenschutz und die Wirtschaft allgemein. Denn das Privacy Shield – ein Abkommen zwischen der EU und den USA zur DSGVO-konformen Datenübermittlung – wurde vom Europäischen Gerichtshof gekippt.

Dieses Schicksal hat auch sein Vorgänger, Safe Harbour, bereits erlitten. Beide Verfahren wurden vom Österreicher Max Schrems in seinem Kampf gegen Facebook initiiert und erfolgreich aus Sicht der Datenschützer geführt. Grundlage für das Urteil war das mangelnde Datenschutzniveau in den USA und dass es kein Rechtsschutzsystem für Nicht-US-Bürger gibt. Das sind natürlich Tatsachen, die nicht von der Hand zu weisen sind.

Sieg nur vermeintlich ein Erfolg

Trotzdem ist der Erfolg ein Pyrrhussieg, lange erkämpft, aber teuer zu bezahlen: Denn quasi über Nacht ist so gut wie jeder Transfer von personenbezogenen Daten rechtlich verunmöglicht worden. Alle Anwendungen, Tools etc., die Daten in den USA hosten und bei denen die Datenübermittlung bisher auf Basis des Privacy Shields erfolgte, dürfen somit nicht mehr genutzt werden. Es gibt im Rechtsspruch keine Schonfrist – das Urteil wurde mit sofortiger Wirkung gültig.

Standardvertragsklauseln alleine nicht genügend

Oft hört man nun, dass dies nicht allzu tragisch sei, denn man könnte eine Übermittlung von personenbezogenen Daten in ein Drittland auch auf die Rechtsbasis der sogenannten Standardvertragsklauseln stützen. Prinzipiell ja – aber der EuGH hat auch dem einen Riegel vorgeschoben. So wurde klargestellt: Unterliegt ein Unternehmen in den USA dem FISA-Gesetz zur Überwachung – wie dies bei Facebook, Google oder Yahoo durchaus der Fall ist – reichen diese Klauseln nicht und man muss zusätzliche Absicherungsmaßnahmen ergreifen. Wie diese aussehen sollen, wird allerdings nicht näher spezifiziert.

Allheilmittel Einwilligung nicht praktikabel

Jetzt könnte man meinen, dass man sich immer noch auf den Rechtsgrund der „Einwilligung“ stützen könnte. Dies ist selbstverständlich möglich, in der Praxis jedoch kaum handhabbar. Denn nicht nur, dass diese Einwilligung von allen Betroffenen (auch den bereits bestehenden Kontakten und Kunden) eingeholt werden müsste, unterliegt diese auch strengen Anforderungen und darf nicht pauschal oder als Bestandteil eines Vertrages abgegeben werden. Es müsste somit für jeden Anwendungsfall eine eigene Einwilligung mit der ausdrücklichen Zustimmung geben. Das ist in der betrieblichen Praxis undenkbar und nicht praktikabel.

Datenübermittlung in die USA illegal

Zusammenfassend bedeutet dies, dass jedes Unternehmen, das personenbezogene Daten in die USA übermittelt, illegal agiert – und damit ist nicht nur der physische Transfer gemeint, sondern auch z.B. die Nutzung von einer Facebook Fanpage.

Was also nun tun? Die EU hat bereits bekannt gegeben, dass es eine Aufnahme der Verhandlungen mit den USA für ein Nachfolgeabkommen gibt. Ebenso haben viele Vereinigungen, wie etwa der Europäische Datenausschuss oder auch die WKO, Handlungsempfehlungen abgegeben. Wie realistisch und praxisnah diese sind, muss jeder für sich beantworten. Was jedenfalls getan werden muss: Evaluierung und Prüfung, denn auch ohne das EuGH-Urteil ist jedes Unternehmen, das der DSGVO unterliegt, verpflichtet, das Verarbeitungsverzeichnis aktuell zu halten.

Akuthilfe Verarbeitungsverzeichnis analysieren

  • Prüfen Sie, ob Sie personenbezogene Daten in die USA übermitteln.
  • Prüfen Sie, ob dies auf Basis des Privacy Shields erfolgt ist.
  • Evaluieren Sie, ob es für diese Anwendungen/diese Tools eine europäische Alternative gibt und dokumentieren Sie alle Schritte und Maßnahmen.

Dies sind Akutmaßnahmen, die schnell erledigt werden können. Welche weiteren Schritte sich noch empfehlen, erfahren Sie in unserem Online-Seminar inklusive einer Checkliste für Ihre konkreten To-dos.

Tipp: Online-Seminar „Adieu Privacy Shield“  – eine Expertin der WKO informiert Sie umfassend zur aktuellen Situation und zu möglichen next steps für Ihr Unternehmen.

Rechtssicherheit schnell wiederherstellen

Da sich für Office 365, Google Analytics oder Facebook nicht so leicht eine Alternative aus Europa finden wird, braucht es nun zwingend zwei Dinge, um der Wirtschaft wieder Rechtssicherheit zu geben: eine praktikable Leitlinie der österreichischen Datenschutzbehörde und ein Nachfolgeabkommen.

War der Artikel hilfreich?
finde ich gut 10
Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.