Person schaut nachdenklich auf ihren Laptop

Compliance

Das Privacy-Shield-Urteil: Was bedeutet das Schrems-II-Urteil für Ihre Organisation?

31 August 2022 · 6 Min

Am 16. Juli 2020 wurde das Datenschutzabkommen „Privacy Shield“ durch das Schrems-II-Urteil des europäischen Gerichtshofs für ungültig erklärt. In vielen europäischen Unternehmen sorgte das Urteil für rechtliche Unsicherheit. Denn mit Unwirksamkeit des Abkommens ist die Übertragung personenbezogener Daten in die USA auf reiner Basis des Privacy Shields nicht mehr DSGVO-konform – eine Herausforderung für die Zusammenarbeit mit US-Dienstleistern.  

Wir werfen einen Blick auf die Entwicklung des Privacy Shields und anderer Datenschutzabkommen, was dazu geführt hat, dass es für ungültig erklärt wurde und wie sich Organisationen heute absichern können. 

Was war das Privacy Shield?

Das Privacy-Shield-Abkommen (dt. „Datenschutzschild“) wurde 2016 als Nachfolger des Safe-Harbor-Abkommens ins Leben gerufen. Das Datenschutzabkommen sollte als Framework zur sicheren Datenübermittlung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten dienen. Die Grundidee dabei: Bei der Verarbeitung von Daten der EU-Bürgerinnen und -Bürger sollte ein Sicherheitsniveau gewährleistet werden, das dem des europäischen Datenschutzrechtes gleichkommt. Dadurch sollte Datenaustausch und somit auch Handel zwischen Europa und den USA erleichtert und gleichzeitig die Rechte europäischer Verbraucherinnen und Verbraucher geschützt werden. 2020 wurde das Abkommen jedoch von den Richtern des Europäischen Gerichtshofs (EuGH), Europas höchster Rechtsprechungsinstanz, im Schrems-II-Urteil für unwirksam erklärt. 

Infobox über die Ursprünge des Privacy-Shield-Abkommens

Schrems-II-Urteil: Warum wurde das Privacy-Shield-Abkommen für ungültig erklärt?

Der Jurist Maximilian Schrems, dessen Klage gegen Facebook es vor die irische Datenschutzbehörde schaffte, hatte bereits zum Beenden des Safe-Harbor-Abkommens geführt. Er sah die Verarbeitung personenbezogener Daten in den USA auf Basis des Privacy Shields nicht mit dem EU-Datenschutzrecht vereinbar. So reichte er erneut Beschwerde bei der irischen Datenschutzbehörde ein, bis ein irisches Gericht den Fall an den EuGH weiterleitete. Der EuGH entschied im sogenannten Schrems-II-Urteil, dass die Datenschutzanforderungen mit dem Privacy Shield nicht erfüllt werden. 

Das Problem des Abkommens laut EuGH: Bei der Datenübermittlung von Daten europäischer Verbraucherinnen und Verbraucher in die USA konnte nicht das Schutzniveau geleistet werden, welches die europäische Datenschutzgrundverordnung (EU-DSGVO 2016/679) vorschreibt – und war somit nicht DSGVO-konform. 

Durch die US-amerikanische Gesetzgebung, die US-Behörden die Datenüberwachung und -herausgabe ermöglicht, seien Daten europäischer Bürgerinnen und Bürger auf US-Servern vor dem Zugriff durch US-amerikanische Behörden nicht ausreichend geschützt. Das Privacy Shield gab US-Recht den Vorrang und nannte sogar sechs Fälle, in denen Massenüberwachung zulässig war. Die Überwachung der verarbeiteten Daten beschränkte sich damit nicht auf ein zwingend erforderliches Maß und schränkte zusätzlich die Möglichkeit europäischer Verbraucherinnen und Verbraucher ein, sich mit Rechtsmitteln zur Wehr zu setzen. 

Infobox über den Patriot Act und den CLOUD Act

Welche Auswirkungen hat das Privacy-Shield-Urteil auf Unternehmen?

Das Urteil hat direkte Auswirkungen auf die Compliance mit der DSGVO: Unternehmen müssen sich aktiv mit dem Datenschutzniveau ihrer Dienstleister aus Drittländern beschäftigen, sie hinsichtlich ihrer DSGVO-Konformität prüfen und Verträge anpassen. Erfolgt diese Überprüfung nicht und werden die Daten ohne angemessene Sicherheitsgarantien in den USA verarbeitet, können Mitarbeitende gegen diese Praxis Beschwerde bei den Datenschutzaufsichtsbehörden einlegen. Dies kann im Worstcase-Szenario zu einem Bußgeld von 20 Millionen Euro bzw. 4 Prozent des weltweiten globalen Jahresumsatzes führen – je nachdem, welcher Betrag höher ist. 

uch die legale Sicherheit der von vielen Unternehmen verwendeten Standarddatenschutzklauseln aus einem Beschluss der EU-Kommission wurden vom EuGH zwar grundsätzlich bestätigt. Es gilt jedoch im Einzelfall zu prüfen, ob diese Garantien ausreichen oder durch weitere Maßnahmen ergänzt werden müssen. Denn auch mit diesen Klauseln ist es zweifelhaft, ob Betroffenen bei einem Zugriff auf personenbezogene Daten durch US-Behörden angemessene Rechtsmittel zur Verfügung stehen. 

Grundsätzlich wirkt sich das Schrems-II-Urteil auf alle Software-Anbieter aus den USA aus, die personenbezogene Daten von EU-Bürgerinnen und Bürgern in die USA übermitteln. Gerade bei Dienstleistern, bei denen besonders sensible Daten erhoben werden, die nach Auswertung gegen Mitarbeitende verwendet werden könnten, sollte höchste Vorsicht geboten sein. Dies ist insbesondere bei Verhaltensdaten, die beispielsweise bei Phishing-Simulationen erhoben werden, der Fall. 

Auch Paul Voigt, Partner und Fachanwalt für Informationstechnologie bei Taylor Wessing, betont die Komplexität einer DSGVO-konformen Datenübermittlung in die USA: 

Zitat von Paul Voigt zum Privacy Shield

Ausblick – Wie geht es weiter beim Thema Datenaustausch?

Insgesamt lässt die Entscheidung des EuGHs wenig Spielraum für einen auch zukünftig legalen Datentransfer zwischen Europa und den USA. Fraglich bleibt auch zwei Jahre nach dem Schrems-II-Urteil, ob und wann es ein neues Rahmenabkommen geben wird. 

Nach den Schrems-Urteilen der vergangenen Jahre zweifelt nun auch ein Gutachten des US-amerikanischen Juristen Stephen Vladeck von Anfang 2022 die DSGVO-konforme Datenverarbeitung durch US- und auch deren EU-Tochterunternehmen an. Das Gutachten hält den aktuellen Stand zum US-Überwachungsrecht fest und zieht Rückschlüsse auf die Möglichkeit von US-Unternehmen, europäische Datenschutzstandards einzuhalten. Es reiche tatsächlich nicht aus, Daten auf EU-Servern zu verarbeiten, um den Zugriff von Behörden oder Geheimdiensten aus dem EU-Ausland zu verhindern. 

Zwar haben sich EU und die USA im Frühjahr darauf geeinigt, dass neue Regeln und Garantien im Rahmen eines neuen Instruments vereinbart werden sollen. Aktuell gibt es jedoch weder einen konkreten ersten Vorschlag noch einen genauen Zeitplan. Daher sind die Erfolgschancen eines neuen Datenschutzabkommens aktuell noch nicht vorhersehbar. Das bedeutet vor allem eins: massive Rechtsunsicherheit für Unternehmen und die IT-Branche. 

Die Lösung – Anbieter mit Servern innerhalb der EU wählen, die zusätzliche technische Vorsichtsmaßnahmen ergreifen

Es gibt also viele Gründe, um aktiv einen Weg aus dieser rechtlichen Unsicherheit zu suchen. Doch wie kann eine Lösung dieser verzwickten Situation aussehen? Entscheiden Sie sich für einen Dienstleister mit Servern in der EU, der zusätzlich hohe technische Sicherheitsmaßnahmen ergreift, um eine DSGVO-konforme Datenverarbeitung zu gewährleisten. So werden die aufgeführten rechtlichen Fallen und die damit verbundenen, erheblichen finanziellen Risiken sowie potenzielle Imageschäden aus dem Weg geräumt. Die ehemalige Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk äußerte sich bereits 2020 eindeutig in diese Richtung. In einer Pressemitteilung der ehemaligen Datenschutzbeauftragten hieß es

Zitat von Maja Smoltczyk zum Privacy Shield

Unternehmen, welche personenbezogene Daten in die USA übermitteln, sollten daher umgehend  

  • zu Dienstleistern mit Servern innerhalb der EU wechseln und 
  • personenbezogene Daten zusätzlich mit weiteren technischen Maßnahmen vor unautorisiertem Zugriff schützen. 

Eine der sichersten zusätzlichen technischen Maßnahmen ist eine starke Verschlüsselung sensibler Mitarbeitendendaten mit eigenem Schlüssel. Wird der Schlüssel selbst durch den gewählten Anbieter innerhalb der EU verwaltet, kann der Server-Provider die gesammelten Daten nicht entschlüsseln. Somit werden die Daten auch vor unautorisiertem Zugriff auf Seiten des Server-Providers geschützt. 

Kurz und knapp: Das müssen Sie beachten

Vor zwei Jahren erklärte der EuGH das Privacy-Shield-Abkommen für ungültig. Die Sicherheitsstandards der DSGVO können also nur mit starken zusätzlichen Sicherheitsmaßnahmen eingehalten werden, wenn US-Unternehmen bzw. Unternehmen, deren Datenserver oder rechtliche Einheiten sich in den USA befinden, involviert sind. Nimmt man die Dienste dieser Unternehmen in Anspruch, bedarf es einer äußerst gründlichen Prüfung in der Implementierung zahlreicher zusätzlicher technischer Maßnahmen, so dass häufig rechtliche Unsicherheit entsteht.  

Um sensible Mitarbeitendendaten umfassend abzusichern – und sich selbst vor Bußgeldern der Datenschutzaufsichtsbehörden und Beschwerden oder Klagen von Mitarbeitenden zu schützen – sollten Organisationen Anbieter wählen, die den genannten Kriterien (Server befinden sich in der EU und Daten sind durch zusätzliche technische Maßnahmen gesichert) entsprechen. 

SoSafe legt Wert auf DSGVO-Konformität. Wir verfolgen einen Privacy-by-Design- und by-Default-Ansatz beim Angebot unserer Cyber Security Awareness Trainings. Unsere Dienste werden bereits so entwickelt, dass nur die nötigsten Daten erhoben werden. Zudem werden die Daten aufgrund technischer Voreinstellungen geschützt. Wir verarbeiten Daten ausschließlich innerhalb der EU und ergreifen höchste Sicherheitsmaßnahmen zum Schutz vor Datenzugriffen.