Empfehlungen für Datenströme von Europa in die USA
Seit dem der EuGH im Jahr 2020 das Privacy Shield außer Kraft gesetzt hat, warten Unternehmen und Verbraucher auf eine neue Richtlinie. Die EU liefert nun Handlungsempfehlungen.
Der Europäische Gerichtshof hat im Sommer 2020 entschieden, dass das EU-US Privacy Shield die Persönlichkeitsrechte seiner Bürger nicht einhält. Vielmehr müsse im Einzelfall entschieden werden, ob das Datenschutzniveau des Empfängers den hier geltenden Datenschutzansprüchen entspricht.
Die Absprache regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Das sogenannte Schrems-II-Urteil hat Organisationen, die personenbezogene Daten aus der Europäischen Union in die Vereinigten Staaten transferieren, ernsthafte Probleme bereitet.
Der Europäische Datenschutzausschuss (EDPB) hat nun Empfehlungen veröffentlicht (PDF) und unter anderem geschrieben: „In seinem jüngsten Urteil C-311/18 (Schrems II) erinnert der Gerichtshof der Europäischen Union (CJEU) daran, dass der Schutz personenbezogener Daten im Europäischen Wirtschaftsraum (EWR) mit den Daten ‚mitreisen‘ muss, wohin auch immer sie gehen. Die Übermittlung personenbezogener Daten an Drittländer darf kein Mittel sein, um den Schutz, der ihm im EWR (Europäischer Wirtschaftsraum) gewährt wird, zu untergraben oder abzuschwächen. Der Gerichtshof bekräftigt dies auch, indem er klarstellt, dass das Schutzniveau in Drittländern nicht identisch mit dem im EWR garantierten, sondern im Wesentlichen gleichwertig sein muss. Der Gerichtshof bestätigt auch die Gültigkeit von Standardvertragsklauseln als ein Übertragungsinstrument, das dazu dienen kann, vertraglich ein im Wesentlichen gleichwertiges Schutzniveau für in Drittländer übertragene Daten zu gewährleisten (Übersetzung).“ (Siehe auch den Artikel Worauf bei den Standardvertragsklauseln (SCC) zu achten ist.)
Bei den beschriebenen Anwendungsfällen sollte unter anderem bei der Verarbeitung eine starke Verschlüsselung eingesetzt werden. Daraus lässt sich schließen, dass eine wie bereits in der DSGVO empfohlene starke Verschlüsselung personenbezogene Daten aus der EU vor Entschlüsselung schützen kann.
Wie sind deutsche Unternehmen und Verbraucher vom Urteil betroffen?
Im Grunde ist jedes Unternehmen und jeder Verbraucher davon betroffen, der beispielsweise bei einem amerikanischen Unternehmen, welches seine Daten in den USA sammelt, online eingekauft hat, oder diverse dort ansässige Messenger-Dienste wie WhatsApp nutzt. Im Umkehrschluss ist ebenfalls betroffen, wer beispielsweise bei einem europäischen Anbieter einkauft, der jedoch die personenbezogenen Daten über ein Rechenzentrum in den USA abwickelt.
Haftung für mangelnde Sicherheit
Seit der Verlegung der ersten transatlantischen Unterseekabel ist der freie Datenfluss zwischen den USA und Europa ein Eckpfeiler des transatlantischen Handels. Heute machen diese Datenströme mehr als die Hälfte des Datenverkehrs in Europa aus. Mit der Aufhebung des Privacy Shield und des Safe-Harbor-Abkommens sind Unternehmen nicht mehr vor der Haftung von Datenschutzverstößen dieser Datentransfers geschützt. Mit Schrems II wurde der bestehende EU-US-Rahmen für den Datenschutz als gültiger Mechanismus für den Datentransfer nahezu vollständig ungültig.
Letztendlich ist die Sackgasse, in der sich der länderübergreifende Datenfluss zwischen den USA und der EU befand, auf mangelnde Rechtssicherheit zurückzuführen. Zweifelhafter Schutz personenbezogener Daten in den Händen von Regierungen bedroht Wirtschaftsbeziehungen im Wert von Billionen von Dollar. Noch komplizierter wird diese Situation durch den Brexit, der die rechtlichen Möglichkeiten für das Senden und Empfangen von Daten zwischen weiteren Regionen einschränken könnte. Daher ist es wichtig, dass sich die EU nun auf Verschlüsselungsmechanismen geeinigt hat.
„Schlussendlich sind die Unternehmen dafür verantwortlich, das Grundvertrauen in den Datenschutz innerhalb der Bevölkerung aufzubauen.“
Armin Simon, Thales
Zuvor waren tausende von multinationalen Organisationen in der juristischen Schwebe. Dies war kritisch, nicht nur für die Unternehmen, sondern insbesondere für die Bürger Europas. Die Herausforderung bestand darin, eine Richtlinie zu implementieren, die nicht erneut durch den EuGH außer Kraft gesetzt werden kann. Die Empfehlung einer Verschlüsselung ist ein wichtiger Schritt. In der Folge ist klar, wann sich ein Unternehmen ausreichend an die Regelung hält und wann rechtliche Konsequenzen drohen.
Ein vertrauenswürdiger Rahmen für die Zukunft
Die Unternehmen, welche zuvor den Rechts- und Reputationsrisiken weiterhin ausgesetzt waren, haben nun einen klaren Weg aufgezeigt bekommen. Es ist eher unwahrscheinlich, dass dies die letzte Auseinandersetzung zum Thema Datentransfer sein wird. Das Fehlen eines föderalen Datenschutzgesetzes in den USA, wie der DSGVO (Datenschutz-Grundverordnung), zwingt die Unternehmen weiterhin, die Dinge selbst in die Hand zu nehmen. Sie müssen jetzt handeln, um ihre sensiblen Daten zu ermitteln, wo auch immer sie sich befinden. Die Empfehlungen des Europäischer Datenschutzausschusses sind ein erster wichtiger Schritt. Es gibt darüber hinaus weitere empfohlene Maßnahmen und Best Practices, die Unternehmen jetzt ergreifen können und sollten:
- Führen Sie für jedes der Länder, in die die Daten übertragen werden, eine Risikobewertung durch.
- Überwachen sie die Datenspeicher für DSGVO-bezogene Daten kontinuierlich und proaktiv.
- Entdecken Sie Ihre Daten, wo immer sie sich befinden, und klassifizieren Sie diese. Auf diese Weise wissen Sie, über welche Daten Sie verfügen, so dass Sie die entsprechenden Sicherheitsmaßnahmen gemäß der DSGVO anwenden können.
- Schützen Sie sensible Daten in Motion und überall dort, wo sie gespeichert sind, durch Verschlüsselung. Die Verschlüsselung des Netzwerkverkehrs sowie der Daten in der Cloud und in Rechenzentren stellt sicher, dass niemand die Daten lesen kann.
- Kontrollieren Sie den Zugriff auf die Daten, indem Sie die Verschlüsselungsschlüssel im Ursprungsland der Daten erstellen, speichern und verwalten. Auf diese Weise besitzen Sie die Schlüssel, nicht der Cloud-Anbieter, und keine ausländische Regierung kann auf die Daten zugreifen.
Fazit
Die Handhabung von Daten durch US-Unternehmen wurde noch nie genauer unter die Lupe genommen. Alle Augen richten sich darauf, wie sich Unternehmen aus dieser Sackgasse heraus manövrieren.
Compliance-Audits werden die Unternehmen aufzeigen, welche sofortige Maßnahmen zum Datenschutz ergriffen haben und so dazu beitragen, eine vertrauensvolle Zukunft aufzubauen. Schlussendlich sind die Unternehmen dafür verantwortlich, das Grundvertrauen in den Datenschutz innerhalb der Bevölkerung aufzubauen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
