Am 16. Juli 2020 kippte der Europäische Gerichtshof mit dem EU-US-Privacy-Shield das transatlantische Datenschutzabkommen zwischen der Europäischen Union und den USA. Begründet wurde die Entscheidung mit dem ungenügenden Schutz personenbezogener Daten von EU-Nutzern in den USA.
Was ist das Privacy-Shield-Abkommen und warum wurde es gekippt?
Ab 2016 wurde mithilfe des EU-US-Privacy-Shields der Transfer und die Verarbeitung personenbezogener Daten von EU-Unternehmen in den USA geregelt. Ziel des Abkommens war es, Daten von EU-Nutzern beim Export und der weiteren Verarbeitung in den USA vor dem Missbrauch zu schützen. Das Problem: US-Firmen konnten sich selbstständig eine Privacy-Shield-Zertifizierung ausstellen, indem sie lediglich angaben, die Datenschutzgrundverordnung (DSGVO) der Europäischen Union einhalten zu wollen. Eine unabhängige Kontrollinstanz und damit ein nachweisbarer Schutz fehlte. Zugleich stellte der EuGH fest, dass das EU-US-Privacy-Shield nicht mit dem Datenschutzrecht der EU vereinbar ist. Folglich musste das Abkommen für ungültig erklärt werden.
Kurz darauf wurde am 8. September 2020 auch das Swiss-US-Privacy-Shield gekippt. Seitdem ist auch die Übermittlung personenbezogener Daten aus der Schweiz in die USA nicht mehr auf Grundlage dieses Abkommens möglich.
Die Ungültigkeitserklärungen der Privacy-Shield-Abkommen gingen mit einer starken Verunsicherung von Unternehmen in der EU und der Schweiz einher. Viele Firmen setzen US-amerikanische Kommunikations- und Kollaborations-Lösungen wie WhatsApp, Microsoft Teams oder Slack ein. Nach wie vor herrscht deshalb eine grosse Unsicherheit darüber, ob Nutzerdaten auf US-Servern einen ausreichenden Schutz erhalten.
Um Ihre Unternehmenskommunikation sicher und datenschutzkonform zu gestalten, bieten wir Ihnen im Folgenden einen verständlichen Überblick über die aktuelle Rechtslage und empfehlen fünf Massnahmen:
- US-amerikanische Kommunikationstools identifizieren
- Personenbezogene Datenübermittlungen ins Blickfeld nehmen
- Rechtsgrundlage der Datentransfers ermitteln
- Privacy Shield 2021 – Was Unternehmen jetzt tun müssen
- Zu datenschutzkonformen Kommunikationsdiensten wechseln
Inhaltsverzeichnis
1. Fall der Privacy-Shields: Auch Ihr Unternehmen ist betroffen
2. Darum können Sie sich nicht auf die Standardvertragsklauseln verlassen
Fall der Privacy-Shields: Auch Ihr Unternehmen ist betroffen
Die Ungültigkeitserklärungen der Privacy-Shield-Abkommen durch den EuGH beziehungsweise den EDÖB (Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten für die Schweiz) sind für Ihr Unternehmen von entscheidender Bedeutung, sollte mindestens einer der folgenden Punkte zutreffen:
- Ihr Unternehmen verwendet zur internen Kommunikation einen US-amerikanischen Dienst (z.B. WhatsApp, Slack, Microsoft Teams).
- Ihr Unternehmen speichert Daten in einer Cloud, die von einem Unternehmen mit Sitz in den USA gehostet wird (z.B OneDrive, Dropbox).
- Ihr Unternehmen verwendet ein Videokonferenzsystem eines US-Anbieters (z.B. Zoom, Google Chat), das beispielsweise Profilbilder sowie die Information, welche Personen gemeinsam an einer Videositzung teilnehmen, speichert.
Welches Datenschutzproblem hat die USA?
Der 2018 erlassene CLOUD Act erlaubt US-Ermittlungsbehörden und Geheimdiensten wie FBI und CIA Zugriff auf personenbezogene Daten von Bürgern aus der EU und der Schweiz – auch wenn sich diese Daten physisch in Europa befinden. Dazu zählen zum Beispiel deren E-Mail-Adressen und Telefonnummern. Die DSGVO sowie das Datenschutzgesetz der Schweiz (DSG) können dadurch nicht eingehalten werden.
Anke Domscheit-Berg, netzpolitische Sprecherin der Bundestagsfraktion DIE LINKE zum EuGH Urteil Privacy Shield. Quelle: https://digitalisierungspraxis.de/privacy-shield-ist-geschichte/
Wenn Tools in Ihrem Unternehmen eingesetzt werden, die gegen die DSG- beziehungsweise DSGVO-Bestimmungen verstossen, drohen hohe Bussgelder. Diese können in Höhe von bis zu 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes ausfallen. Ebenso kann Ihrem Unternehmen der Datentransfer in die USA untersagt werden. Da viele Unternehmen in der EU und der Schweiz keinen Überblick über ihren laufenden Datenverkehr mit US-Firmen haben, laufen diese Gefahr, für Datenschutzverstösse hohe Strafen zu kassieren.
Darum können Sie sich nicht auf die Standardvertragsklauseln verlassen
Mit dem Fall der Privacy-Shield-Abkommen sind laut EuGH und EDÖB nach wie vor die Standardvertragsklauseln ein geltendes Vertragswerk für Datentransfers aus der Schweiz sowie der EU in die USA. Die Herausforderung: Mit jeder US-Firma muss eine solche Vereinbarung einzeln abgeschlossen werden. Zudem muss berücksichtigt werden, dass die Standardvertragsklauseln nur dann gültig sind, wenn ein umfassender Schutz der Daten durch die US-Firma gewährleistet werden kann. Ausserdem muss das europäische Unternehmen die Einhaltung der Standardvertragsklauseln streng kontrollieren.
Was bringen die neuen Standardvertragsklauseln?
Seit dem 27. Juni sind die durch die EU-Kommission überarbeiteten neuen Standardvertragsklauseln gültig. Sie sorgen zwar für mehr Rechtssicherheit, indem sie den Datenimporteur unter anderem dazu verpflichten, das betreffende Unternehmen aus der EU oder der Schweiz zu informieren, sobald ein Antrag auf den Datenzugriff durch US-Behörden erfolgt. Problematisch ist aber weiterhin, dass die durch den CLOUD Act erlaubten Zugriffe auf personenbezogene Daten durch US-Behörden auch nicht von den überarbeiteten Standardvertragsklauseln untersagt werden können.
Die Standardvertragsklauseln garantieren keinen sicheren Datentransfer
Die Standardvertragsklauseln bieten somit keinen verlässlichen Schutz für personenbezogene Daten von Unternehmen aus der EU und der Schweiz auf Servern US-amerikanischer Firmen.
Erfahren Sie im nächsten Kapitel, welche Massnahmen Ihnen zu einer datenschutzkonformen und sicheren Unternehmenskommunikation verhelfen.
Privacy Shield 2021 – was Unternehmen jetzt tun müssen
1. US-amerikanische Kommunikationstools identifizieren
In Schweizer und EU-Unternehmen sind populäre Kommunikationstools wie WhatsApp, Slack, Wire oder Threema Work in der internen Kommunikation nicht mehr wegzudenken, denn spezialisierte Chat-Apps sind sehr beliebt. Viele der bekannten Messenger-Dienste bieten aber kein ausreichendes Mass an Datensicherheit im Sinne der DSGVO beziehungsweise der DSG. Beispielsweise hat der Messenger Wire (Wire Swiss GmbH) seinen Sitz in der Schweiz, speichert jedoch seine Daten auf Servern des US-Unternehmens Amazon.
Vor diesem Hintergrund sollten Sie folgende Fragen klären:
- Welche Messenger werden zur internen Kommunikation in Ihrem Unternehmen genutzt?
- Wo befinden sich deren Firmen(haupt)sitze?
- Wo befinden sich deren Server?
Wenn Sie dabei feststellen, dass in Ihrem Unternehmen US-Messenger-Dienste zum Einsatz kommen, berücksichtigen Sie unbedingt die weiteren Handlungsempfehlungen.
2. Personenbezogene Datenübermittlungen ins Blickfeld nehmen
Vom Urteil des EuGH und des EDÖB sind die Transfers personenbezogener Daten in die USA betroffen. Personenbezogene Daten werden insbesondere bei der Nutzung von Instant-Messaging-Diensten in der Unternehmenskommunikation übermittelt. Deshalb sollten Sie explizit diese Art von Datentransfers bei den folgenden Massnahmen berücksichtigen.
3. Rechtsgrundlagen der Datentransfers ermitteln
Im Falle der Nutzung von US-Messengern in Ihrem Unternehmen muss nun für jeden Einzelfall geprüft werden, auf welcher Rechtsgrundlage diese Ihre personenbezogenen Daten verarbeiten und speichern. Normalerweise kommen nur folgende Vertragswerke in Betracht:
- die mittlerweile ungültigen Privacy-Shield-Abkommen
- die Standardvertragsklauseln (ggf. um zusätzliche Schutzvereinbarungen ergänzt)
Jedoch muss beachtet werden, dass weder die hinfälligen Privacy-Shield-Abkommen, noch die Standardvertragsklauseln einen angemessenen Schutz für Ihre Unternehmensdaten auf Servern von US-Firmen garantieren.
4. Wenn möglich, auf Schweizer oder EU-Server ausweichen
Einige US-amerikanische Kommunikationsunternehmen bieten die Möglichkeit, personenbezogene Daten ausschliesslich auf EU-Servern zu speichern und so einen Transfer in die USA zu umgehen.
Bieten EU-Server eine höhere Rechtssicherheit?
Auf Grundlage des CLOUD Acts von 2018 gewährt der Staat US-Behörden und Geheimdiensten wie FBI und CIA auch Zugriff auf Datensätze auf Servern in der EU, die von US-Kommunikationsdiensten gehostet werden. Somit garantiert Ihnen die Speicherung auf EU-Servern noch keine Rechtssicherheit.
Die Schweiz garantiert vollumfängliche Rechtssicherheit
Alle Schweizer Unternehmen unterliegen dem Datenschutzgesetz der Schweiz, welches vergleichbar strenge Regelungen wie die DSGVO vorschreibt. Das Datenschutzniveau der Schweiz wurde von der EU als äquivalent erklärt, weshalb die Schweiz im Gegensatz zur USA als «sicherer Drittstaat» gilt und bei Datenübermittlungen zwischen der EU und der Schweiz ein hohes Datenschutzniveau eingehalten werden kann.
5. Zu datenschutzkonformen Kommunikationsdiensten wechseln
Aufgrund des mangelhaften Datenschutzniveaus der USA kann in der Regel keine DSG- beziehungsweise DSGVO-konforme Übermittlung personenbezogener Daten stattfinden. Um Rechtsverstösse zu umgehen, wird deshalb die Nutzung datenschutzkonformer Kommunikationsdienste empfohlen, die Ihre Daten nicht auf US-amerikanischen Servern speichern und somit nicht dem CLOUD Act unterliegen.
Fazit: Der sicherste Messenger für Ihr Unternehmen
Ein Datentransfer, der den strengen DSG- und DSGVO-Regelungen entspricht, ist noch keine Garantie für einen vollumfänglichen Schutz personenbezogener Daten. Abseits der Rechtskonformität eines Kommunikationstools sollte vielmehr berücksichtigt werden, inwiefern dessen Geschäftsmodell und Programmierung ein angemessenes Datenschutzniveau gewährleisten können.
Dazu gehört der öffentliche Zugang zum Quellcode (Open Source). So kann eine volle Transparenz gewährleistet und die Funktionsweise der Anwendung nachvollzogen werden. Wichtig ist auch eine regelmässige Sicherheitsprüfung durch unabhängige Experten, um die Software auf Datenschutzlücken zu prüfen. Die Gewährleistung von Datensicherheit und Privatsphäre sollten zudem bereits in der Entwicklungsphase des Kommunikationstools priorisiert werden (Privacy by Design), um so wenig Nutzerdaten wie möglich zu speichern und einen Missbrauch so von vornherein auszuschliessen.
Betrachtet man die populärsten Kommunikationstools im Vergleich, wird deutlich, dass der Schweizer Messenger Threema und dessen Business-Lösung Threema Work die sichersten Alternativen zu vergleichbaren, bekannten US-Messengern darstellen. Sparen Sie sich zeitaufwendige Überprüfungen und Vertragsaushandlungen mit US-Anbietern oder Anbietern, die Ihre Daten auf US-Servern hosten. Diese können Ihnen keinen ausreichenden Schutz für Ihre Unternehmensdaten versichern und setzen Ihr Unternehmen unwägbaren Risiken aus. Mit Threema Work kommunizieren Sie von Beginn an datenschutzkonform und sicher!
Weitere Quellen zur Vertiefung:
- https://dsb.ruhr-uni-bochum.de/2020/08/07/schrems-ii-der-eugh-entscheidet-ueber-die-rechtliche-zulaessigkeit-von-us-datentransfers/
- https://www.cmshs-bloggt.de/tmc/datenschutzrecht/eugh-privacy-shield-unwirksam-standardvertrag/
- https://www.gleisslutz.com/de/aktuelles/know-how/NeueEUStandardvertragsklauselnfuerDaten%C3%BCbermittlungeninDrittstaaten.html
- https://www.dr-datenschutz.de/privacy-shield-gekippt-welche-auswirkungen-hat-das-eugh-urteil/