Ein Facebook User kippt Privacy Shield – und jetzt?

Privacy Shield bezeichnet die (Selbst-)Verpflichtung zur Einhaltung von Datenschutzstandards in den USA, die dem europäischen Datenschutzrecht genügen (Stichwort DSGVO). Unter diesem Schutzschirm konnten europäische Unternehmen DSGVO-konform Daten an Auftragsverarbeiter mit Sitz in den USA weitergeben, die sich nach EU-US Privacy Shield zertifiziert hatten.

Schutzschild zerschlagen

Kürzlich ist diese Praxis vom EuGH für ungültig erklärt worden (“Schrems II”-Urteil vom 16. Juli 2020). Max Schrems, österreichischer Jurist und Datenschutzaktivist hatte mit seiner Klage vor dem EuGH schon für das Kippen des Privacy Shield Vorgängers, dem Safe-Harbor-Abkommen, gesorgt. Hintergrund ist die Praxis von Facebook, auch die Daten europäischer Nutzer nicht an seinem Standort in Irland oder andernorts auf europäischem Boden zu verarbeiten, sondern allesamt auch ungefragt in die USA zu transferieren. Diese Praxis für seine personenbezogenen Daten nahm Schrems zum Anlass seiner Klage. Spätestens seit den Enthüllungen von Edward Snowden ist bekannt, dass US-Unternehmen sich nicht an die Zusicherungen von Privacy Shield halten oder halten können, wenn US-Geheimdienste (und ihre Partner) etwas wissen wollen. Es gibt sogar konkrete US-Gesetze, die eine Massenüberwachung vorschreiben (z.B. FISA 702 und EO 12.333). Dies steht in vollkommenem Gegensatz zur europäischen Datenschutzgrundverordnung DSGVO.

Was nun?

Wer IT-Dienste in seinem Unternehmen nutzt, hat mit hoher Wahrscheinlichkeit Berührungspunkte zu dieser Problemstellung. Es fängt schon bei der öffentlichen Website an: welche Dienste werden genutzt, welche Fonts, welche Cookies von welchen Anbietern übertragen Informationen der Besucher in die USA? Haben Sie sich mal die Liste von Diensten und Cookies angeschaut, die Sie beim Besuch einer Website akzeptieren sollen?

Ihre eigene oder auch andere Websites können Sie mit Blacklight scannen, um einen Eindruck zu bekommen. Als kommerzieller Dienst bietet Cookiebot noch Mehrwerte. Dieser Artikel von Cookiebot diente auch als eine der Quellen für diesen Beitrag.

Für den Geschäftsbetrieb noch kritischer sind aber SaaS Dienste wie Office 365, Salesforce und viele andere, die heute omnipräsent auch in europäischen Unternehmen sind. Was gilt es hier nun zu beachten?

SaaS weiter nutzen

Stellen Sie vor allem sicher, dass Sie die von den Anbietern fast immer bereitgestellten “Standardvertragsklauseln” abgeschlossen haben. Damit gehen Kunden eine direkte Vertragsbeziehung mit dem Anbieter ein, in der der Anbieter den Datenschutz zusichert. Diese Praxis wurde vom EuGH ebenfalls geprüft und für weiterhin geeignet befunden, ein adäquates Datenschutzniveau zu gewährleisten. Wohlgemerkt: der Mechanismus ist in Ordnung – die Standardvertragsklauseln einiger Anbieter müssen und werden inhaltlich voraussichtlich kurzfristig nachgebessert werden.

Bei Office 365 sollten Sie in jedem Fall darauf achten, dass der Datenspeicherort für Ihre Organisation auf Europa oder sogar Deutschland festgelegt ist:

Risiken bewerten

Datenschutzbeauftragte neigen dazu, auf “Nummer sicher” zu gehen und lieber von der Nutzung abzuraten. Diese Haltung sollte differenziert hinterfragt und diskutiert werden. Neben den nicht ganz klar greifbaren Risiken, Dienste weiter zu nutzen auch unter vorübergehend nicht vollkommen belastbaren Standardvertragsklauseln, sind die Risiken, sich ganz akut in Teilen handlungsunfähig zu machen, wahrscheinlich größer.

Haftung

Wir können keine rechtliche Beratung zu diesem Thema anbieten, sondern stellen diese Informationen als Hinweise und Tipps zur Verfügung. Eine juristisch fundiertere Analyse – und natürlich auch Angebote zur Beratung – finden Sie zum Beispiel bei der audatis in Herford und Potsdam.