EuGH-Urteil zum Datenabkommen mit den USA: Unsicherheit allerorten
Am 16. Juli kippte ein Urteil des EuGH die bisher gültige Datenschutzvereinbarung zwischen EU-Unternehmen und den USA, den sogenannten Privacy Shield, und stellt damit die betroffenen Unternehmen vor große Herausforderungen.
Microsoft, Facebook, Google und Amazon sind für die meisten international operierenden Unternehmen mit Sitz in der EU kaum aus dem Geschäftsalltag wegzudenken. Kaum ein Unternehmen, das keine Cloudspeicher nutzt, die in den USA beheimatet sind, Social-Media-Plattformen beschickt oder die virtuellen Konferenz-Optionen eines US-Anbieters in Anspruch nimmt. Das Grundproblem ist der gravierende Unterschied zwischen dem Datenschutzrecht in den USA und der im EU-Raum gültigen DSGVO. Der Privacy Schild stellte bislang eine Rechtsgrundlage dar, die unternehmerischen Datenaustausch mit US-Firmen grundsätzlich absicherte. Dies ist nun Geschichte. Im Klartext heißt das für EU-Unternehmen, dass diese im Sinne der DSGVO dafür verantwortlich sind, dass personenbezogene Daten auch dann ausreichend geschützt sind, wenn sie auf US-Servern gespeichert sind. Ein Widerspruch in sich: Denn die US-Gesetzte erlauben in den USA den Zugriff von zahlreichen Behörden auf persönliche Daten in den Speichern der IT-Giganten.
Rechtliches Dilemma führt zu großer Verunsicherung
Wie unvereinbar die riesigen Unterschiede beim Datenschutz zwischen der EU und den USA sind, zeigt beispielsweise das aktuelle Beispiel der deutschen Corona-Warn-App der Bundesregierung: Hier war oberster Grundsatz, dass Infizierte, die durch die App identifiziert werden, vor jeglicher Behörde absolut anonym bleiben. In USA hingegen erlaubt das Datenschutzrecht den Zugriff beispielsweise der US-Geheimdienste auf sämtliche Daten, die ein EU-Bürger in Social-Media-Plattformen preisgibt. Gleiches gilt für personenbezogene Daten in US-basierten Cloud-Diensten. Größer könnte der grundsätzlich unterschiedliche Umgang mit Daten kaum sein – ein absolutes Dilemma für jedes EU-Unternehmen, das mit den USA Daten austauscht.
Streng genommen sind EU-Unternehmen dazu verpflichtet, die Datenverarbeiter, mit denen sie zusammenarbeiten, daraufhin zu überprüfen, ob sie den Anforderungen der DSGVO Genüge tun. Einer solchen Prüfung bedarf es freilich nicht, da von vornherein die datenschutzrechtliche Handhabe in den USA absolut unvereinbar mit den Grundsätzen der DSGVO ist. Die Unternehmen, die etwa Speicherdienste von Google in Anspruch nehmen, mit Microsoft-Software konferieren und Kommunikation mit Kunden und Partnern auf gängigen Social-Media-Plattformen betreiben, müssten dies streng genommen mit sofortiger Wirkung auf datenschutzrechtliche Unzulänglichkeiten überprüfen und gegebenenfalls einstellen, wenn sie nicht Gefahr laufen wollen, in den Fokus der Datenschutzbehörden zu rücken.
Das würde bedeuten, dass die rechtliche Diskrepanz, die zwischen zwei Staaten besteht und einer juristischen Lösung auf Staatsebene bedarf, nun auf Unternehmen übertragen wird, die ihrerseits auf die wirtschaftlichen Beziehungen mit den Anbietern in den USA existenziell angewiesen sind.
Welche Maßnahmen schützen vor bösen Überraschungen?
Bereits vor dem Urteil stützen viele transatlantische Geschäftsbeziehungen sogenannte „Standardvertragsklauseln“, die individuell aufgesetzt werden, das Datenschutz-Prozedere beim Datenaustausch mit den USA explizit definieren und mit der DSGVO in Einklang bringen. Diese werden auch bis zu einer neuen generellen Einigung auf dem Niveau des Privacy-Shield, die die EU zwangsläufig mit den US-Behörden aushandeln wird, der einzig gangbare Weg sein, das eigene Unternehmen rechtlich abzusichern. Allerdings sollten diese nach dem Urteil des EuGH datenschutzrechtlich überprüft und angepasst werden. Denn, soviel steht fest: Das Urteil ist rechtskräftig und stellt alle vorherigen rechtlichen Absicherungen zu diesem Thema infrage.
Abonnieren Sie unseren kostenlosen Datenschutz-Fachinformationsdienst und bleiben Sie stets aktuell informiert:
- Datenschutz-Fokusthemen
- Veröffentlichungen der Behörden
- Relevante Gerichtsentscheidungen
Als Dankeschön für Ihre Anmeldung erhalten Sie eine Gratis-Mustervorlage für die Umsetzung eines Löschkonzepts.