Mit Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (sog. Schrems II-Urteil) entschieden, dass das Privacy Shield-Abkommen (Nachfolger des Safe Harbour-Abkommen) zwischen den USA und Europa ungültig ist. Das Ergebnis dieser Rechtsprechung war bereits befürchtet worden.
Das Urteil führt dazu, dass Datenverarbeitungen mit Diensten unzulässig sind, wenn die Verarbeitung auf das Privacy Shield-Abkommen gestützt wird.
Unerfreulicherweise geht der EUGH auch auf die EU-Standardvertragsklauseln (EU-Model Clauses) ein. Diese können weiterhin zulässig sein, allerdings wird eine weitere Prüfung verlangt: Die Verantwortlichen müssen prüfen, ob der Diensteanbieter aufgrund lokaler Gesetze überhaupt in der Lage ist, die Vertragsklauseln einzuhalten. In der Folge muss dies in den meisten Fällen dazu führen, dass eine Datenverarbeitung durch US-Unternehmen unzulässig ist. Dies ist darauf zurückzuführen, dass die meisten Anbieter sich vorbehalten, Daten unter Umständen in die USA zu übermitteln bzw. im Rahmen gesetzlicher Anforderungen in den USA hierzu verpflichtet sind.
Zum gegenwärtigen Zeitpunkt ist der Einsatz folgender Dienste mit hoher Wahrscheinlichkeit unzulässig:
- Office 365 / Microsoft 365 (einschl. Teams, SharePoint Online, Azure)
- Amazon AWS
- Google G-Suite
- Google Analytics
- Zoom
- Vimeo
- You Tube
- HubSpot
Weiterhin ist anzumerken, dass Firmenpräsenzen in sozialen Netzwerken (z.B. Facebook, Instagram, Twitter, LinkedIn) ebenfalls unzulässig sein können.
Die betroffenen Unternehmen, deren Dienste vielfach von europäischen Unternehmen genutzt werden, haben sich aktuell nur vereinzelt zu dem Urteil geäußert. Hier einige Stellungnahmen:
- Microsoft: https://blogs.microsoft.com/eupolicy/2020/07/16/assuring-customers-about-cross-border-data-flows/
- Hubspot: https://www.hubspot.de/data-privacy/privacy-shield
Das vollständige Urteil kann hier abgerufen werden: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=9732082
Pressemeldung zum Urteil: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
Was ist jetzt zu tun? Zunächst einmal sollte keine Panik ausbrechen. Es sollte jedoch hinterfragt werden, ob die verwendeten Dienste tatsächlich notwendig sind oder – zumindest temporär – deaktiviert werden können. Dies könnte z.B. ein denkbarer Weg für die Websiteanalyse (google analytics) oder die Präsenzen in sozialen Netzwerken sein. Für andere Dienste ist z.B. denkbar, dass die Verarbeitung personenbezogener Daten ausgeschlossen oder zumindest stark reduziert wird. Möglicherweise können auch erweiterte Verschlüsselungen zum Einsatz kommen, die dazu führen, dass der Diensteanbieter nicht auf die Daten zugreifen kann.
Handlungsempfehlung:
- Nicht in Panik ausbrechen, sondern:
- Ermitteln, bei welchen Dienstleistern Datenübermittlungen in ein Drittland stattfinden.
- Deaktivieren der Dienste, bei denen die Verarbeitung ausschließlich das Privacy Shield verwendet. Gegebenenfalls kann der Dienstleister aufgefordert werden, die EU-Standardvertragsklauseln abzuschließen.
- Prüfen der Dienste, bei denen die EU-Standardvertragsklauseln verwendet werden. Falls sich die Anbieter vorbehalten, Daten z.B. in die USA zu übertragen oder Gesetze in den USA unter Umständen eine Datenübermittlung verlangen, kann dies leider dazu führen, dass die Dienste nicht mehr verwendet werden dürfen.
Der Artikel stellt die Meinung des Autoren dar und ersetzt keine Beratung im Einzelfall.