Ein Interview der OEVERMANN Networks GmbH mit Oliver Korth, Fachanwalt für IT-Recht
Mitte Juli hatte der Europäische Gerichtshof (EuGH) das sogenannte Privacy-Shield-Abkommen gekippt. Die Übertragung personenbezogener Daten aus dem EU-Gebiet in die USA dürfte seitdem in vielen Fällen illegal sein. In diesem Interview gibt Herr Oliver Korth, LL.M., Fachanwalt für IT-Recht bei der Kanzlei Meyer-Köring aus Bonn, die richtigen Antworten auf brennende Fragen. Das Interview führt Christopher Fiebig von OEVERMANN Networks.
Fiebig: Können Sie uns erklären, was das sogenannte Privacy-Shield-Abkommen ursprünglich bewirken sollte?
Korth: Die Datenschutz-Grundverordnung knüpft besondere Bedingungen an die Übermittlung personenbezogener Daten in ein sog. „Drittland“ außerhalb der Europäischen Union. Personenbezogene Daten dürfen grundsätzlich nur dann in ein Drittland übermittelt werden, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Die EU-Kommission kann ausdrücklich feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet.
Eine solche Feststellung hatte die Europäische Kommission mit dem Beschluss über die Angemessenheit des vom EU-US-Datenschutzschild - auf Englisch „Privacy Shield“ genannt - gebotenen Schutzes getroffen. Übrigens gab es bereits vor dem „Privacy-Shield“ eine solche Feststellung, nämlich die „Safe-Harbour-Entscheidung“. Auch diese wurde – bereits im Jahr 2015 - für ungültig erklärt, was erst zu dem – nun abermals gekippten - „Privacy-Shield-Beschluss“ führte.
Man hat also vergeblich versucht, den vereinfachten Datenaustausch mit den Vereinigten Staaten aufrechtzuerhalten, indem man dem Kind schlicht einen neuen Namen gegeben hat.
Fiebig: Warum wurde das Privacy-Shield-Abkommen vom Europäische Gerichtshof gekippt?
Korth: Das Gericht begründete die Entscheidung damit, dass die auf amerikanische Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind und keine ausreichenden Vorschriften existieren, die betroffenen Personen Rechte verleihen, welche gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können.
Fiebig: Was bedeutet das für deutsche Unternehmen, welche personenbezogene Daten in den USA verarbeiten lassen?
Oliver Korth
Korth: Das Urteil stellt viele Unternehmen nun vor die Herausforderung, ihre Datenübermittlungen sicher und rechtskonform zu gestalten, jedoch ohne praktikable Lösungen aufzuzeigen. Ehrlicherweise ist es aber auch nicht Aufgabe eines Gerichts, praktikable Lösungen aufzuzeigen.
Datenübermittlungen in die vereinigten Staaten sind nunmehr – möglicherweise bald ähnlich wie Datenübermittlungen in das Vereinigte Königreich - mit hohen Risiken verbunden, sofern von den Betroffenen keine wirksamen Einwilligungen eingeholt worden sind. Einwilligungen dürften jedoch in vielen Fällen weder eingeholt worden noch dürfte diese Lösung für Unternehmen für die Zukunft praktikabel sein.
Fiebig: Es gibt ja noch das juristische Konstrukt der sogenannten „Standardvertragsklauseln“. Was hat es damit auf sich?
Korth: Wie bereits erwähnt darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
Als solche geeigneten Garantien kommen insbesondere von der Europäischen Kommission genehmigte Standarddatenschutzklauseln in Betracht. Das sind mehrseitige Muster von Regelungen, die nicht abgeändert werden dürfen. Der EuGH hat aber darauf hingewiesen, daß nur die Nutzung von Standarddatenschutzklauseln nicht ausreicht, um personenbezogene Daten in die Vereinigten Staaten zu übermitteln. Deren Einhaltung muß zudem noch sichergestellt sein.
Zwar bieten diese „EU- Standarddatenschutzklauseln“ anstatt des „Privacy Shield“ zunächst eine gewisse Zeit ein Mehr an Sicherheit. Es ist aber für Unternehmen äußerst schwierig und in vielen Fällen gar nicht möglich, die Einhaltung der Vorgaben durch das Empfänger-Unternehmen in den USA nachzuweisen.
Fiebig: Google und Co. haben ja auch Rechenzentren in Europa. Betrifft die das auch?
Korth: Solange die personenbezogenen Daten in der EU bleiben, spielt es keine Rolle, welches Unternehmen Rechenzentrumsleistungen anbietet. Problematisch ist aber, wenn ein Unternehmen in der EU Rechenleistungen, also z.B. das Hosting einer Internetpräsenz, anbietet, seinerseits dafür aber mit Unterauftragnehmern in Drittländern zusammenarbeitet und an diese die Daten übermittelt.
Es ist daher leider ein Trugschluss zu glauben, mit der Beauftragung eines Unternehmens in der EU sei man fein raus.
Christopher Fiebig
Fiebig: Was sollten deutsche Unternehmen jetzt am dringlichsten tun?
Korth: Unternehmen sollten in jedem Falle kurzfristig feststellen, ob und welche personenbezogenen Daten sie – oder von ihnen beauftragte Unternehmen für sie (!) - in die USA übermitteln und für diese Übermittlungen EU-Standarddatenschutzklauseln mit den Empfängern abschließen.
Weitere Maßnahmen, wie beispielsweise Verschlüsselungen oder, wo möglich, sogar Anonymisierungen, sind notwendig. Letztendlich kann auch die vollständige Einstellung der Nutzung einer Software oder Anwendung angezeigt sein.
Wir empfehlen, das Thema auf jeden Fall ernst zu nehmen, um Bußgelder und Untersagungsverfügungen zu vermeiden. Deutsche und europäische Datenschutzaufsichtsbehörden haben bereits erklärt, Unternehmen keine Schonfrist einzuräumen.
Fiebig: Was heißt das für konkrete Anwendungen wie Google Analytics, Google Maps und Facebook Pages?
Korth: Diese beliebten Anwendungen sind nicht ausgenommen. Notfalls muss die Nutzung dieser Anwendungen schlicht eingestellt werden, so schmerzhaft das auch für das eine oder andere Unternehmen sein mag.
Vielen Dank Herr Korth für das Gespräch.
Herr Oliver Korth, LL.M., Fachanwalt für IT-Recht bei der Kanzlei Meyer-Köring aus Bonn, hilft Ihnen in fachlichen Fragen zum Privacy Shield gerne weiter. Die OEVERMANN Networks GmbH in Bergisch Gladbach kann mit ihren (Hosting-) Lösungen dazu beitragen, den Unternehmen individuelle und DSGVO-konforme Lösungen anzubieten.
Fotos: OEVERMANN Networks GmbH und Kanzlei Meyer-Köring
Titelbild: Adobe Stock
© Idey | 128256788 | stock.adobe.com