Der EU-US-Privacy shield ist ungültig.
Ein Update und was Sie jetzt tun können.

Liebe Kunden, liebe Leser,

vor ziemlich genau einem Monat genauer am 16.07. hat der EUGH den EU-US-Privacy-Shield für unwirksam erklärt (hier das Urteil).

Und damit im Endeffekt jede Auftragsverarbeitung in Drittländern (hierunter fallen auch die USA) mehr oder minder für illegal erklärt, zumindest jedoch auf einen strengen Prüfstand gestellt.

Im heutigen Informationsschreiben möchte ich Sie informieren, wie im Zusammenhang mit diesem Urteil die Datenübermittlung in Drittländer ggf. noch durchführbar ist und wo sich im Moment Probleme aufwerfen.

Eine wichtige Sache vorweg.

Gerade die Datenweitergaben bei den am stärksten vertretenen Unternehmen (Microsoft, Google, Apple, Amazon,…) ist realistisch betrachtet nicht auf legale Füße zu stellen. Zumindest nicht im Moment.

Eine beispielhafte Reaktion von Seiten Microsoft, die so oder ähnlich auch von anderen Unternehmen dieser Art kommt, findet sich hier:

https://news.microsoft.com/de-de/stellungnahme-zum-urteil-des-eugh-was-wir-unseren-kunden-zum-grenzueberschreitenden-datentransfer-bestaetigen-koennen/

Unterm Strich gilt aber:

Die alte Rechtsbasis, auf die sich beinahe alle Auslandsübermittlungen (außerhalb EWR) stützten, ist ungültig.

Selbst die Standardvertragsklauseln, die als Dokumentenvorlage zwar in ihrer Wirksamkeit bestätigt wurden, sind dann nicht gültig, wenn im betroffenen Fall nicht sichergestellt werden kann, dass die personenbezogenen Daten auf einem Niveau entsprechend der EU geschützt sind.

Einhellige Meinung hierzu:

Aufgrund des Cloud-Acts, nach dem die US- Regierung jederzeit auf die von US-Unternehmen gespeicherte Daten zugreifen darf und zwar egal, wo diese gespeichert werden, ist dies zumindest in den USA genau nicht der Fall.

Dies macht somit die Verwendung der Standardvertragsklauseln im Endeffekt unmöglich, da selbst die Abwägung im Einzelfall auf dieser Rechtsbasis negativ ausfallen muss.

Gute Neuigkeiten:

Die US-Regierung und die EU-Kommission haben Gespräche über eine Neuregelung für die Datenübermittlung über den Atlantik aufgenommen.

Wann und ob das Ergebnis hieraus kommt und erfreulich ist, bleibt zunächst offen.

Wir halten sie auf dem Laufenden.

Wie können wir aber gerade die am weitesten verbreitet genutzten Dienste, die nun ja illegal sind, weiter nutzen?

Beispiel Microsoft 365:

Zu Zeiten der Datentreuhänderschaft durch die Telekom wäre diese Lösung die einfachste gewesen. Leider wurde diese eingestellt und ist damit nicht mehr als Lösungsweg einsetzbar.

Microsoft bietet seinen Kunden schon seit geraumer Zeit (auch schon vor dem Urteil) die Standardvertragsklauseln als Rechtsgrundlage der Datenübermittlung an. Reichen diese unterm Strich und nach Bewertung des entsprechenden Datenschutzniveaus aus?

Eher nicht!

Welche Möglichkeiten bleiben also derzeit offen?

  1. Straußentaktik:
    Kopf in den Sand stecken und warten, bis sich das Problem von alleine löst? (Privacy-Shield V2?)
    -> Wird bei Prüfung durch die Behörden mit Sicherheit mit Bußgeldern belegt.

  2. Greifen nach dem durchlöcherten Strohhalm:
    Nutzen der Standardvertragsklauseln mit einer Bewertung des Datenschutzes in den betreffenden Ländern und vom betreffenden Partner so, dass die Datenübermittlung erlaubt ist.
    -> Wird bei Prüfung durch die Behörden mit großer Wahrscheinlichkeit als unwirksam identifiziert und ggf. mit Bußgeldern belegt.

  3. Nutzen der verbliebenen Möglichkeit nach Artikel 49 DSGVO (Empfehlung unsererseits):
    Art. 49, Abs. 1, lit. a bietet die Möglichkeit der Datenübermittlung auf Basis der informierten Einwilligung der betroffenen Person. Dies hieße, dass für alle Übermittlungen in die USA eine gesonderte Datenschutzinformation und Einwilligung in die Datenübermittlung durch die jeweils Betroffenen Personen einzuholen wäre. Dies betrifft alle Mitarbeiter, aber leider auch alle weiteren Personen, deren Daten auf den entsprechenden Systemen verarbeitet werden (bei Office können Sie sich vorstellen, wer das alles ist).
    -> Eine saubere Lösung, die allerdings mit etwas Aufwand verbunden ist. Rechtlich derzeit allerdings die denkbar günstigste Alternative und mit elektronisch eingeholten Einwilligungen auch recht zügig umsetzbar.

  4. Abstellen der entsprechenden Dienste und Umschwenken auf legale Alternativen:
    Für so ziemlich alle Office-Anwendungen und auch Windows selbst gibt es open-source-alternativen, die entweder über EU-dienstleister für Sie betrieben werden können, oder sogar auf eigenen Servern betrieben werden können.
    -> Rechtlich auch einwandfrei. Probleme gibt es allerdings im Rahmen von Kompatibilität der Dateien, Schulung der Mitarbeiter auf neue Software und natürlich bei der Umstellung der Systeme selbst.

Und Webservices?

Bezogen auf o.g. Vorschlag 3 lässt sich in gleicher Weise auch für die Dienste verfahren, die Sie auf Ihren Webseiten einsetzen. Hier ist der Aufwand sogar denkbar gering, da die dortige Einwilligung für Cookies (sofern vorhanden) direkt auch genutzt werden kann, um die Einwilligung zur Datenübermittlung in Drittländer einzuholen. Es bedarf ein paar textuellen Anpassungen im Banner und ggf. der Auswahlmöglichkeiten dort und ggf. noch einer Anpassung der Datenschutzhinweise.

Egal, für welche Lösung Sie sich entscheiden. Wir stehen Ihnen mit unserem schlagkräftigen Netzwerk für alle Lösungen direkt oder mit unseren Partnern zur Verfügung.

Sprechen Sie uns einfach an.

Ihr J-TEC GmbH Team