Teil 2: Good Bye Privacy Shield - das sollten Sie tun

Sandra Gerner, Celine Polterauer 27.10.2020

DSGVO Help

Warum eigentlich die ganze Aufregung?

Es ist kein leichtes Jahr für Unternehmen, die bisher auf das Privacy Shield – und damit einen geregelten Datentransfer in die USA – gesetzt haben.

Denn Europa kehrt Google, Facebook und vielen anderen amerikanischen Unternehmen den Rücken: Zumindest, wenn es um Datenschutz geht. Aufgrund mangelhafter Datenschutzstandards, die in den USA für EU-Bürger gelten, hält der EuGH das ursprüngliche Abkommen EU-US-Privacy-Shield für ungeeignet, in den USA jenes Datenschutzniveau herzustellen, das von der EU-Datenschutzgrundverordnung verlangt wird, und hat es daher aufgehoben.

Das von dem Juristen Max Schrems erkämpfte Urteil bleibt nicht ohne Folgen: Weil viele europäische Unternehmen nichts an ihrem Datentransfer in die USA geändert haben, sind innerhalb weniger Wochen zahlreiche Beschwerden bei den Datenschutzbehörden in der EU eingegangen. Hier besteht also definitiv Handlungsbedarf.

Welche rechtskonformen Alternativen bleiben?

"Da es aktuell keine 100%ig sichere allgemeingültige Rechtsgrundlage für den Datentransfer in die USA gibt, müssen sich datenschutzkonforme Wege erst etablieren. Momentan bleibt nur, sich Schritt für Schritt heranzutasten und diese nachvollziehbar zu dokumentieren. Sie müssen der Datenschutzbehörde nachweisen können, dass Sie versucht haben, nach bestem Wissen und Gewissen der neuen Situation zu entsprechen, indem Sie die nach dem jeweiligen Stand der Diskussion mit den Datenschutzbehörden in Frage kommenden Hilfsmittel in Ihr Datentransfer-Verfahren einbauen." 
‍

Dr. Waltraut Kotschy, eine der führenden Datenschutzexpertinnen in Österreich und in Europa

Wie das geht, zeigen wir Ihnen in folgendem Leitfaden.

Empfohlene Schritte

1. Überblick verschaffen
  • Liste mit Anbietern und Dienstleistern aus den USA erstellen


  • Tipp: Die Anbieter der Dokumentation der Datenverarbeitungen und Verarbeitungsverzeichnisse entnehmen

  • Sub-Verarbeiter berücksichtigen!

2. Analysieren, recherchieren und Kontakt aufnehmen
  • Auf welche rechtlichen Grundlagen stützen sich die betroffenen Anbieter? Privacy Shield / Standarddatenschutzklauseln (SCCs), Binding Corporate Rules?

  • Welche Reaktionen gibt es seitens der betroffenen Anbieter?

  • Haben die Anbieter Regelungen für Kunden aus der EU getroffen?

  • Im Einzelfall zu prüfen (Fragebogen empfohlen): Greifen FISA 702 und / oder EO 12.333 bzw. müssen den US-Behörden Daten zur Verfügung gestellt werden?

  • Gibt es zusätzliche Schutzmaßnahmen wie Verschlüsselung, genehmigte zertifizierte Maßnahmen und Verhaltensregeln?

  • Wie kann der Verantwortliche die Einhaltung der Regelungen durch den Vertragspartner prüfen?

  • Trifft die Rechtsbasis „Erfüllung eines Vertrags mit dem Betroffenen“ zu?

3. Mögliche Maßnahmen ableiten
  • Kann auf europäische Lösungen umgestellt werden? Lesen Sie dazu auch unseren Artikel "Vive l'Europe - Euopas große Chance"

  • Kann eine Einwilligung der Betroffenen eingeholt werden?

  • Wenn es keine Alternativen gibt: Information an die Datenschutzbehörde

  • Nicht vergessen: Anpassungen auf der Website vornehmen und Datenschutzerklärung anpassen

‍4. Prozess dokumentieren
  • Sämtliche Maßnahmen und Schritte evaluieren und dokumentieren

  • Zeitplan zu den Maßnahmen erstellen

Halbe Lösungen sind keine Lösungen!

Wenn beispielsweise Ihr Server von einem US-amerikanischen Anbieter stammt, aber in Europa steht, reicht dies mitunter nicht aus: Grund dafür ist Cloud Act, der US-Behörden Zugriff auf EU-Server von US-amerikanischen Anbietern erlaubt. Auf die Standardvertragsklauseln (SCCs) als alleinige rechtliche Grundlage kann man daher auch nicht bauen, da aufgrund der umfassenden Gesetze wie FISA und Cloud Act die Unterbindung eines Zugriffs von den US-Behörden nicht garantiert werden kann. Die Verantwortung bleibt beim Daten-Exporteur – also dem europäischen Unternehmen, das Datenverarbeitungen von US-Anbietern in Anspruch nimmt. Zusätzliche Maßnahmen sind jedenfalls erforderlich.


Copyright: Photo by Štěpán Vraný on Unsplash