Privacy-Shield-Exit der EU

Dringender Handlungsbedarf

Ob Maschinenbauer, Automobilzulieferer, Energieversorger oder auch Dienstleister jeder Art: Firmen aller Branchen sind vom sogenannten Schrems-II-Urteil des Europäischen Gerichtshofs zum Privacy Shield betroffen. Seit dem Nein aus Luxemburg ist der Transfer von Personendaten in die USA auf Basis des bisherigen Datenschutzabkommens Privacy Shield bekanntlich illegal.

Dringender Handlungsbedarf

Neue Wege ebnen müssen die Unternehmen in der Europäischen Union, wenn es um den Transfer von Personendaten in die USA geht.

Auch für die Verwendung der alternativen EU-StandardVertragsklauseln haben die Richter hohe Hürden aufgestellt. Das hat weitreichende Folgen für die digitalen Geschäftsabläufe im Mittelstand: Denn jedem Unternehmen, das Cloudbasierte Dienste wie Microsoft 365, Dropbox, Google oder Salesforce einsetzt, drohen Datenschutzprobleme. Immer dann, wenn personenbezogene Daten wie die Daten von Kunden, Mitarbeitern, Lieferanten oder Geschäftspartnern auf Servern außerhalb der EU liegen und die Verträge auf Basis des bisherigen Privacy-Shield-Abkommens oder der EU-Standardvertragsklauseln (kurz SVK) abgeschlossen wurden.

Augen zu und Wegducken hilft nicht, sagen die Experten von Ditis Systeme aus Ulm. Das Problem ist da – die IT-Chefs müssen es lösen. Aussitzen ist keine gute Idee, drohen doch hohe Bußgelder. Vielmehr gilt es jetzt, die eigenen Prozesse zu durchleuchten und zu optimieren. Bei dieser Herausforderung für IT-Verantwortliche und Datenschutzbeauftragte kann folgende Roadmap helfen:

1. Bestandsaufnahme: Der erste Schritt ist immer die Bestandsaufnahme. Hier gilt es für die Datenschutzbeauftragten eines Unternehmens zu ermitteln, ob überhaupt ein Problem vorliegt oder nicht. Zunächst müssen dabei alle relevanten Prozesse identifiziert werden und es muss geklärt werden, mit welchen US-Firmen und anderen Unternehmen außerhalb der EU überhaupt ein Transfer personenbezogener Daten stattfindet. Nur in Ausnahmefällen enthalten Prozesse keinerlei personenbezogenen Daten oder lassen sich entsprechend umstellen. 

Wer nicht umhinkommt, personenbezogene Daten in Drittstaaten außerhalb der EU zu transferieren – und das wird in zahlreichen Fällen der Fall sein –, der muss aktiv die Rechtslage prüfen. Erfolgt der Datenaustausch auf Basis des bisherigen Privacy-Shield-Abkommens, müssen neue Verträge abgeschlossen oder Alternativen gesucht werden. 

2. Alternativen suchen: Bei der Suche nach Alternativen gilt es, einen Benchmark vergleichbarer Anbieter und Dienstleistungen durchzuführen und auch bewusst europäische Alternativen zu prüfen und diesen Entscheidungsprozess genau zu dokumentieren. Aus den Unterlagen sollte z.B. klar hervorgehen, warum für den Datentransfer ein Dienstleister mit Drittlandbezug gewählt wurde, insbesondere wenn ein EU-Anbieter als Alternative zur Verfügung gestanden hätte. Dies ist auch für eine eventuell erforderliche Argumentation gegenüber Datenschutzaufsichtsbehörden wichtig. Der Check der Alternativen lässt sich unter folgenden vier Gesichtspunkten bewerten: 

› Usability: Können Alternativen aus Europa genauso einfach bedient werden oder müssten Mitarbeiter neu geschult oder Kunden an komplett neue Software-Lösungen gewöhnt werden?

› Funktionalität und Funktionsumfang: Lassen sich die beabsichtigten Verarbeitungen mit der Alternative genauso effektiv durchführen wie bisher oder gibt es Einschränkungen?

› Kosten: Sind die Alternativen aus der EU und die Kosten für die Einführung wesentlich teurer als bei Systemen aus Drittländern und wie bedeutend ist die Mehrbelastung?

› Sicherheitsrisiko: Welche Sicherheitsniveaus bieten die unterschiedlichen Alternativen?

Alternativen aus Drittländern

Eine gute Alternative zu Anbietern aus der EU sind Dienstleister aus Drittländern mit einem anerkannten Datenschutzniveau. Bei Transfers in diese Länder gelten die gleichen Regeln wie bei EU-Mitgliedsstaaten. Eingeschränkt, aber prinzipiell noch möglich ist dabei der Datenaustausch unter Berücksichtigung der sogenannten EU-SVK. 

Dies ist ein Artikel aus unserer Print-Ausgabe 12/2020. Bestellen Sie ein kostenfreies Probe-Abo.

Insbesondere in den USA gilt: Hier müssen weitere Garantien eingefordert und vereinbart werden. Dass sich die Tech-Konzerne angesichts dieser Situation bewegen, zeigt u.a. das aktuelle Beispiel Microsoft. Der Konzern hat mittlerweile ein „Additional Safeguards Addendum to Standard Contractual Clauses“ veröffentlicht. Damit sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA nicht generell gelöst, denn eine Ergänzung der SVK könne eben nicht dazu führen, dass der Zugriff der US-Geheimdienste auf die Daten unterbunden werde. 

3. Entscheidung: Am Ende müssen sich die Verantwortlichen in öffentlichen Stellen und Unternehmen für einen sicheren Weg entscheiden und die passende Alternative für den Transfer von personenbezogenen Daten auswählen. Sollte der bisherige oder auch ein potenzieller neuer Dienstleister nicht bereit oder durch entgegenstehendes nationales Recht nicht in der Lage sein, die Ergänzungsvereinbarungen der EU-Standard-Vertragsklauseln zu akzeptieren, bleiben zwei Maßnahmen übrig: Entweder man stellt die Verarbeitung ein und wählt eine datenschutzkonforme Alternative oder es wird eine Anfrage an die zuständige Datenschutzaufsichtsbehörde gerichtet, um das weitere Vorgehen abzustimmen.  

4. Kontrolle: Der DSGVO-konforme Austausch personenbezogener Daten wird in Deutschland von den jeweiligen Datenschutzaufsichtsbehörden der Bundesländer kontrolliert.  Dr. Stefan Brink, der Landesbeauftragte für den Datenschutz in Baden-Württemberg, hat sein weiteres Vorgehen so definiert: „Im Zentrum wird die Frage stehen, ob es neben oder mit dem gewählten Dienstleister nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt.“ Er betont aber auch, dass das weitere Vorgehen am Grundsatz der Verhältnismäßigkeit ausgerichtet werde.

5. Externe Hilfe: Um im Dschungel der Schrems-II-Folgen nicht den Durchblick zu verlieren, empfiehlt es sich, externe Hilfe in Anspruch zu nehmen. Spezielle Datenschutzdienstleister können den Prüf- und Auswahlprozess vereinfachen, beschleunigen und absichern. Zudem gibt es im Einzelfall weitere Rechtsgrundlagen für die Datenweitergabe in Drittstaaten, die zu prüfen sind. Die Anbieter haben in der Regel die richtigen Fragebögen und Checklisten; außerdem haben sie den Überblick über Anbieter, die als Alternative für bisherige Dienstleister in-frage kommen können. 

Bildquelle: Thinkstock/iStock

©2021Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok