Datenübermittlung in die USA. Kann ich weiterhin Microsoft, Google und Facebook verwenden?

Service

Aufhebung des Urteils des Gerichtshofs der Europäischen Union vom 16. Juli 2020Der EU-US-Datenschutzschild hat der Wirtschaft große Sorgen bereitet. Es gab Stimmensogar die sofortige Einstellung der Nutzung von Microsoft Office-Suiten vorschlägt,Google Analytics oder die Nutzung von Facebook. Muss man wirklich so weit gehenradikale Schritte?

Was ist das Problem?

Bis zum 16. Juli 2020 war die Übermittlung personenbezogener Daten zwischen den Ländern der Europäischen Union und den USA vor allem unter dem sogenannten EU-US Privacy Shield möglich. Auf dieser Grundlage könnten Unternehmen aus den USA (auf der Privacy-Shield-Liste) personenbezogene Daten von EU-Bürgern verarbeiten. Der Gerichtshof der EU hat am 16. Juli 2020 entschieden, dass die Übermittlung personenbezogener Daten in die USA im Rahmen des Privacy Shield nicht mehr rechtmäßig ist.

Was bedeutet das in der Praxis für einen Unternehmer?

Eine beträchtliche Anzahl von Unternehmen nutzt IT-Lösungen auf Basis der Datenverarbeitung im sogenannten Wolke. Durch die Verwendung von beispielsweise Microsoft 365 (ehemals Office 365), G Suite (von Google bereitgestellt), Google Analytics / Ads oder sogar Facebook Social Plugins auf ihrer Website ermöglichen Unternehmen die Übertragung personenbezogener Daten ins Ausland. Das EuGH-Urteil macht es erforderlich, die Regeln zu überprüfen, nach denen dies übergeben wird. Erfreulicherweise gibt es neben dem inzwischen ungültigen Privacy Shield noch weitere Gründe für die Datenübertragung, von denen die wichtigsten mittlerweile Standardvertragsklauseln sind.

Was sind Standardvertragsklauseln?

Standarddatenschutzklauseln sind von der Europäischen Kommission erlassene vertragliche Regelungen, die ein ausreichend hohes Schutzniveau personenbezogener Daten gewährleisten sollen. Einige US-Softwareanbieter und IT-Dienstleister schließen sie in Verträge mit ihren Kunden ein. Diese Praxis wird von Microsoft in Bezug auf Microsoft 365 (ehemals Office 365) oder Google in Bezug auf einige seiner Software (zB GSuite – in diesem Fall muss der Benutzer jedoch angeben, dass er die Klauseln verwenden möchte) verwendet. Google erklärt, dass daran gearbeitet wird, den Abschluss von Standardvertragsklauseln in Bezug auf Google Analytics- und Google Ads-Dienste zu ermöglichen. Gemäß der Datenschutzerklärung von Facebook werden Daten von Nutzern aus der Europäischen Union an ein irisches Unternehmen übertragen und von dort unter anderem an das amerikanische Unternehmen Facebook - es ist schwer zu sagen, wie sicher diese Praxis ist, aber Facebook erklärt, dass es Standardvertragsklauseln verwendet. Darüber hinaus sollte geprüft werden, ob das Recht des Landes, in das die Daten übermittelt werden, den betroffenen Personen einen angemessenen Schutz gewährleistet. Hier wird die Situation kompliziert, denn eine Zahl
Rechtsakte in den Vereinigten Staaten werden unter anderem durch Nachrichtendienste haben uneingeschränkten Zugriff auf eingehende Daten, einschließlich personenbezogener Daten. Für dieses Problem gibt es derzeit keine eindeutige Lösung.

Was sollte ich jetzt tun?

Zunächst sollten Sie prüfen, welche der im Unternehmen verwendeten Lösungen sich auf den Versand von Daten in die USA beziehen. Ist dies nicht der Fall, müssen wir keine weiteren Schritte unternehmen. Andernfalls prüfen Sie, ob der Dienstleister darauf hinweist, dass die Sicherheit der Verarbeitung durch Standardvertragsklauseln gewährleistet ist. Beide Informationen – über die Übermittlung von Daten an die Staaten und die Verwendung von Klauseln – finden sich höchstwahrscheinlich beispielsweise in der Datenschutzerklärung oder den Bestimmungen eines bestimmten Dienstes. Wenn sich ein Diensteanbieter ausschließlich auf das EU-US Privacy Shield verlässt, sollte die Nutzung dieses Dienstes eingestellt werden. Schließlich sollten unsere DSGVO-Dokumentations- und Informationsklauseln aktualisiert werden, die auf Standardvertragsklauseln als Grundlage für die Datenübermittlung in die USA hinweisen oder – falls wir uns gegen die Nutzung einer der Anwendungen entschieden haben – durch Löschen der Informationen über eine solche Datenübermittlung.

Wie hoch ist das Risiko, die neue Verpflichtung zu ignorieren?

Vor allem Geldbußen wegen Verletzung des Schutzes personenbezogener Daten. Darüber hinaus besteht das Risiko, Ansprüche der betroffenen Person wegen Verletzung ihrer Rechte geltend zu machen.

Wird das so bleiben?

Die Situation ist dynamisch, zumal derzeit die Absprachen der Datenschutzaufsichtsbehörden aus EU-Ländern im Rahmen des Europäischen Datenschutzausschusses laufen. Separate Maßnahmen werden auch von Softwareanbietern ergriffen, die die Nutzungsbedingungen ihrer Systeme und Anwendungen aktualisieren. Es lohnt sich auch, den offiziellen Webseiten staatlicher und europäischer Behörden sowie Datenschutzorganisationen zu folgen
personenbezogene Daten in Erwartung offizieller Erklärungen und Interpretationen.

 

Externer Text, Partnerartikel