Europäischer Gerichtshof kippt Privacy Shield: Sofortmaßnahmen & Empfehlungen
Die Nachricht, dass der Europäische Gerichtshof (EuGH) das Privacy-Shield-Abkommen für unzulässig erklärt hat, verbreitete sich wie ein Lauffeuer in den Medien. Doch dann herrschte erst einmal Funkstille – denn auch die Datenschutz-Experten hatten und haben bis heute keine zufriedenstellenden Antworten auf die Fragen, die das Urteil zwangsläufig aufwirft. Fest steht nur, dass Unternehmen umgehend aktiv werden müssen. Wir geben Ihnen in diesem Beitrag Tipps und Handlungsempfehlungen, wie Sie mit der geänderten Datenschutzlage umgehen.
Datenflüsse evaluieren
Auch wenn das Urteil des EuGH sofort wirksam ist, erwartet niemand, dass Sie Ihre Datenverarbeitungsprozesse von heute auf morgen umstellen. Ohnehin gilt es abzuwarten, wie genau die nationalen Aufsichtsbehörden die Empfehlungen des EuGH im jeweiligen Land umsetzen. Das ist allerdings noch lange kein Grund, das Thema auf die lange Bank zu schieben. Fangen Sie bereits heute an zu evaluieren, wie Ihre Datenflüsse verlaufen. Richten Sie Ihr Augenmerk vor allem auf den Datentransfer in die USA. So erhalten Sie einen guten Überblick darüber, welcher Aufwand im Ernstfall auf Sie zukommt.
Einwilligung der Nutzer einholen
„Play it safe“: Die mit Abstand sicherste Methode, personenbezogene Daten legal in die USA – und im Prinzip jedes andere Land – zu transferieren ist, die Einwilligung der Nutzer einzuholen. Das klingt in der Theorie zwar einfach, in der Praxis bedeutet dies jedoch einen gehörigen Mehraufwand. Sie müssen nämlich nachweisen, dass jeder Nutzer aufgeklärt und seine ausdrückliche Zustimmung gegeben hat – beispielsweise in Ihrer Kundendatenbank oder Ihrem CRM-System. Nur so sind Sie bei Audits oder behördlichen Kontrollen auf der sicheren Seite. Eine entscheidende Frage bleibt jedoch bei diesem Modell offen: Was passiert mit Nutzern, die ihre Einwilligung nicht geben? Hier benötigen Sie in jedem Fall einen Plan B.
Daten verschlüsseln
Eine weitere Option, Daten rechtssicher in den USA zu verarbeiten, ist eine Verschlüsselung oder Anonymisierung des Datenstamms. Aber: Nicht jede Organisation und nicht jedes Geschäftsmodell eigenen sich dafür. Prüfen Sie also vorher im Detail, ob Ihr Unternehmen auch mit Daten ohne oder nur begrenztem Personenbezug arbeiten kann.
Auf einen anderen Anbieter umsteigen
Viele der zuvor genannten Optionen sind Kompromisslösungen oder eignen sich nur für bestimmte Unternehmenstypen. Wer wirklich unabhängig und auch für die Zukunft gewappnet sein möchte, der sollte darüber nachdenken, seine Daten ausschließlich in der EU zu verarbeiten. Denn wenn uns Safe Harbor und Privacy Shield etwas gelehrt haben, dann, dass die Datenverarbeitung in den USA auch künftig noch für Zündstoff sorgen wird.
no-repeat;left top;;
auto
Viele Experten, wie die Berliner Datenschutzbeauftragte Maja Smoltczyk fordern daher „in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern.“ Unternehmen und Institutionen, die insbesondere bei der Nutzung von Cloud-Diensten personenbezogene Daten in die USA übermittelten, „sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.“
In Europa gilt vor allem Deutschland als Server-Standort mit besonders hohem Datenschutzniveau. Als erfahrener Rechenzentrumsbetreiber wissen wir selbst sehr gut, wie wichtig Datenschutz ist – denn für viele unserer Kunden ist dies nicht nur die bloße Erfüllung von Auflagen, sondern integraler Bestandteil ihres Business-Konzepts. Daher tun wir alles dafür, die Daten unserer Kunden und derer Kunden so gut wie möglich zu schützen. Beispielsweise halten wir Daten ausschließlich in Deutschland in unserem centron Datacenter in Hallstadt vor. Unser Information Security Management ist darüber hinaus vom Bundesamt für Informationssicherheit (BSI) ISO 27001 zertifiziert – und übererfüllt die strengen deutschen Datenschutzanforderungen sogar.
Weitere Informationen zum Datenschutz in unserem centron Datacenter und unseren Managed-Server-Angeboten finden Sie hier:
Unser ISO 27001 Rechenzentrum
Managed Server Dedicated von centron
Managed Server Virtual von centron
Rechtslage im Blick behalten
Auf Basis des EuGH-Urteils werden auch die Landesregierungen in den kommenden Wochen und Monaten Sofortmaßnahmen veröffentlichen. Halten Sie also unbedingt die Augen offen. Verlässliche Informationsquellen sind:
Website des Europäischen Gerichtshofs
Website des Bundesgerichtshofs
Leitlinien der Datenschutzkonferenz
Hintergrund: Warum ist Privacy Shield unzulässig?
Privacy Shield wurde als Nachfolger des 2015 gekippten Safe-Harbor-Abkommens ins Leben gerufen. Es sollte die Basis für einen legalen Datentransfer von Nutzer- und Kundendaten in die USA bilden. Doch bereits bei der Einführung wurde Privacy Shield als Sofortmaßnahme des Europäischer Gerichtshof massiv kritisiert und als Mogelpackung bezeichnet. Im Juli 2020 entzog der Europäische Gerichtshof dem Abkommen schließlich seine legale Basis. Der Hauptgrund: In den USA könne Geheimdienste legal auf Unternehmens- und Kundendaten zugreifen. Somit ist kein mit den Standards der EU vergleichbares Datenschutzniveau gegeben – dies ist laut den Luxemburgischen Richtern die Grundvoraussetzung für einen Datentransfer aus der EU in die USA. Besonders problematisch: Durch dieses Urteil stehen auch viele Standardvertragsklauseln, die als Alternative zu Privacy Shield gelten, auf der Kippe – denn es erscheint utopisch, dass die USA mittel- oder langfristig ihre Geheimdienstpolitik ändern.