Es ging landesweit durch alle Gazetten. Am 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) das „EU-US Privacy Shield“ für ungültig. Doch viele Unternehmen haben diese Entscheidung nur beiläufig zur Kenntnis genommen. Wer aber Cloud Computing nutzt und sich dabei eines Unternehmens mit US-Bezug bedient, sollte achtsam sein. Denn in vielen Fällen werden personenbezogene Daten auf Grundlage des Privacy Shield in die USA übermittelt. Und genau das ist rechtswidrig wie die Luxemburger Richter jetzt feststellten. Eine Liste der US-Unternehmen mit einer Privacy Shield-Zertifizierung wird vom US-Handelsministerium geführt und ist im Internet abrufbar. Auf der Liste finden sich namhafte Unternehmen wie Amazon, Facebook, Google, Microsoft, Twitter oder Dropbox.
Trügerische Sicherheit
Die technischen Möglichkeiten US-amerikanischer Cloud-Anbieter werden auch von zahlreichen Handwerksbetrieben genutzt. Was am Markt technisch verfügbar ist, wird eingesetzt, aus Kostengründen, aus Mangel an Alternativen oder weil Drittanbieter sich dieser Cloud-Systeme bedienen. Bis zur EuGH-Entscheidung verwiesen US-Unternehmen gerne auf ihre Privacy-Shield-Zertifizierung zur Legitimation des Datentransfers. Sie suggerierte den Unternehmen Sicherheit bei der Einhaltung der Vorgaben des europäischen Datenschutzrechts. Seit dem 16. Juli 2020 ist alles anders. In seiner Entscheidung stellte der EuGH fest, dass die Zugriffsmöglichkeiten von US-Behörden auf Daten europäischer Bürgerinnen und Bürger zu weitreichend seien. Gleichzeitig monierte er, dass europäische Bürgerinnen und Bürger keine Möglichkeit hätten, Überwachungsmaßnahmen von US-Behörden gerichtlich überprüfen zu lassen. Daher ist jeder unter dem Privacy Shield laufende Datentransfer in die Vereinigten Staaten illegal. Eine Übergangsfrist gibt es nicht.
Datenschützer gefragt
Die Datenschützer machen bereits mobil. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, fordert in einer am 17. Juli 2020 veröffentlichten Erklärung, sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, seien nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.
Bestehender Handlungsbedarf
Während Großunternehmen ihre Rechtsabteilung mit den aufgetretenen Fragestellungen beschäftigen, sind kleine und mittlere Unternehmen (KMU) mit der aktuellen Situation auf sich allein gestellt. Die Nichtregierungsorganisation NOYB, europäische Zentrum für digitale Rechte, hat sich der Durchsetzung des Datenschutzes innerhalb der Europäischen Union verschrieben. Auf ihrer Website hat die Organisation unter dem Titel „nächste Schritte für EU-Unternehmen“ häufige Fragen und Antworten (FAQs), veröffentlicht, die Licht ins Dunkel bringen. Musterschreiben, die von EU-Unternehmen genutzt werden können, finden sich dort ebenso. NOYB sagt dazu auf ihrer Website: „Wir sind uns voll und ganz bewusst, dass viele Verantwortliche mit dem jüngsten Urteil C-311/18 des EuGHs zum Datentransfer zwischen der EU und den USA, insbesondere mit Blick auf das Fehlen einer Schonfrist, überfordert sind. Nachfolgend haben wir die häufigsten Fragen und Antworten zusammengefasst. Wir stellen auch zwei Mustertexte für Anfragen zur Verfügung, die Sie an jeden US-Partner oder jeden EU-Partner mit US-Bezug senden können. Rasches Handeln könnte durchaus von Relevanz sein, sollte eine Aufsichtsbehörde nun Geldbußen für die Nichteinhaltung der Entscheidung des EuGHs erwägen.“
Zur NOYB-Website geht‘s hier: https://noyb.eu/de/naechste-schritte-fuer-eu-unternehmen-faqs
Die neue Wolke „GAIA-X“
Die Entscheidung des EuGH hat nicht wirklich zu überraschen vermocht, auch wenn es in den Medien als „Paukenschlag“ vermarktet wurde. Malerblog.net hat bereits im März 2020 darüber berichtet, dass die Zugriffsmöglichkeit von US-Behörden im Rahmen der sogenannten Cloud-Act auf Daten, die von amerikanischen Unternehmen wie IT-Dienstleister und Cloud-Anbieter verarbeitet werden, im Hinblick auf Datenschutz und Datensicherheit Sorge bereiten sollte. Mit GAIA-X, einem deutsch-französisches Projekt zur Schaffung einer eigenen, europäischen Dateninfrastruktur, könnte alsbald eine Antwort auf die dringende Frage der Datensouveranität europäischer Unternehmen gefunden werden.
Zu dem Artikel geht’s hier: GAIA-X: Die europäische Wolke macht von sich Reden
Das könnte Sie auch interessieren:
IT-Outsourcing: Wie Malerbetriebe Hardware, Software und Daten auslagern, ein Interview mit Benjamin Janssen, Geschäftsführer der diprotec GmbH