Am 16. Juli 2020 erklärte der Europäische Gerichtshof das Privacy Shield-Abkommen zwischen der EU und den USA für unwirksam. Damit ist es ab sofort nicht mehr möglich, dass US-Unternehmen personenbezogene Daten von EU-Bürgerinnen und -Bürgern auf dieser Basis verarbeiten. Ohne Übergangsfrist, und – wie sich jetzt gerade zeigt – ohne adäquate Alternative. Und dies in einer wirtschaftlich angespannten Situation, wo nahezu alle Unternehmen in Europa auf Dienstleister in den USA setzen, wenn es um die Datenverarbeitung geht, oder auf Datentransfers mit Handelspartnern oder ihren Konzernunternehmen angewiesen sind. Diesem Vakuum stehen Anwender und Unternehmen natürlich verunsichert gegenüber.
Daher stellt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg nun eine Orientierungshilfe zur Verfügung. Diese erklärt, was das Urteil bedeutet, welche Konsequenzen es vonseiten der Aufsichtsbehörde nach sich zieht und wie Anwender und Unternehmen nun reagieren müssen. Auch eine Checkliste hilft bei den jetzt anstehenden Schritten.
Richtig an der EuGH-Entscheidung ist, dass das von der EU-Kommission mit den USA ausgehandelte Privacy Shield-Abkommen EU-Bürger nicht wirksam davor schützte, dass US-Geheimdienste anlasslos, zeitlich unbegrenzt und ohne wirksame Zweckbindung Daten von Europäern bei als Dienstleistern fungierenden US-Unternehmen abgreifen können. Doch es stellt europäische Unternehmen auch vor eine nahezu unlösbare Situation. Können sie Dienstleister wie Microsoft, Zoom und Co. nicht dazu bringen, die Daten auf Servern in den EU-Mitgliedstaaten wirksam vor dem Zugriff der US-Behörden zu schützen, dürften sie diese Dienstleister nicht mehr nutzen. Andernfalls drohen den hier ansässigen Unternehmen Bußgelder der Datenschutzbehörden. Noch härter sind Unternehmen betroffen, die selbst einen Standort in den USA oder laufende Geschäftsbeziehungen dorthin haben – diese haben keine Ausweichmöglichkeiten und sehen ihre Handelbeziehungen in die USA in akuter Gefahr. Zusammen mit ihren US-amerikanischen Vertragspartnern müssten sie die US-Regierung zu einer Gesetzesänderung bewegen, welche europäische Daten vor einem schrankenlosen Zugriff der Geheimdienste schützt und den betroffenen Personen wirksame Rechtsbehelfe zur Überprüfung eines Zugriffs durch die US-Gerichte einräumt. Ein wenig aussichtsreiches Unterfangen …
„Natürlich wäre eine Änderung der Gesetzeslage in den USA in einer idealen Welt die perfekte Lösung und eine echte Verbesserung des Datenschutzes. Dass dieses Dominospiel des EuGH aber funktioniert, ist stark zu bezweifeln. Selbst wenn wir Aufsichtsbehörden – der Logik des Dominospiels folgend – die Wirtschaftsbeziehungen zwischen deutschen/europäischen Unternehmen und US-Firmen zu Fall bringen, steht doch in den Sternen, ob dies die angestrebte Kettenreaktion auslöst und letztlich die US-Sicherheitspolitik zum Einlenken bewegt.“, so LfDI Dr. Stefan Brink. „Dennoch ist für uns Aufsichtsbehörden klar: Das EuGH-Urteil gilt, wir müssen es unverzüglich umsetzen – und das werden wir auch tun. Allerdings werden wir dies mit Augenmaß nach dem Grundsatz der Verhältnismäßigkeit tun und immer die Frage stellen, ob die Datentransfers in die USA alternativlos sind oder nicht. Im Zentrum wird also die Frage stehen, ob es neben dem vom jeweiligen deutschen Unternehmen gewählten Dienstleister nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn ein Unternehmen uns nicht davon überzeugen kann, dass der von ihm genutzte Dienstleister mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden.“ Für den Umgang mit den übrigen Fällen arbeitet der LfDI noch, gemeinsam mit den Unternehmen und Verbänden und im Einklang mit den europäischen Aufsichtsbehörden, an überzeugenden Lösungen – die aber nicht einfach zu finden sind.
Detaillierte Angaben zur Rechtslage und den nun folgenden Schritten der Aufsichtsbehörde sowie eine Checkliste für Unternehmen in Baden-Württemberg finden sich in der heute veröffentlichten Orientierungshilfe des LfDI Baden-Württemberg.
Bei Rückfragen erreichen Sie uns unter der Telefonnummer 0711/615541-11.
Weitere Informationen zum Datenschutz und zur Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.
Die Pressemitteilung ist im Internet abrufbar unter http://www.baden-wuerttemberg.datenschutz.de.