Schrems II – Die Rückkehr der DSGVO(?)

Was wie der Titel eines Möchtegern Hollywood Films klingt, hat im Juli 2020 doch einige Wellen geschlagen, die bis heute nachwirken. Die Hauptdarsteller: Der österreichische Datenschutzaktivist Max Schrems, das US-Unternehmen Facebook, konkret dessen irische Tochter Facebook Irland und die große Kammer des europäischen Gerichtshofs (EuGH). [1]

Die Handlung kurz zusammengefasst, Max Schrems hatte gegen die Weitergabe seiner persönlichen Daten durch Facebook Irland and die US-Mutter Facebook geklagt, da er seine Rechte als europäischer Bürger hinsichtlich der DSVGO als nicht gewährleistet sah. Das Abkommen was konkret zur Disposition stand, war das zwischen der Europäischen Union und den USA geschlossene “Privacy Shield”. Amerikanische Unternehmen, die nach dem Privacy Shield zertifiziert waren, wurden automatisch anerkannt, ein äquivalentes Schutzniveau für personenbezogene Daten zu bieten, wie es die DSGVO verlangt.

Das Urteil des EuGHs war vernichtend. Das Gericht befand, dass das “Privacy Shield” Abkommen zwischen der EU und den Vereinigten Staaten kein ausreichendes Datenschutzniveau gewährleistet und erklärte es als ungültig.

Unter anderem verwies das Gericht auf das flächendeckende Überwachungsprogramm der USA was betroffenen Personen keinen Rechtschutz biete [2].

Was bedeutet das nun konkret für ein Unternehmen, welches personenbezogene Daten an US-Unternehmen übermittelt?

Tatsächlich befand das Gericht, dass die sogenannten Standardvertragsklauseln weiterhin gültig sind. Allerdings muss der Datenimporteur auch durch technische und organisatorische Maßnahmen sicherstellen, dass für die personenbezogenen Daten entsprechendes Datenschutzniveau gewährleistet wird.

Die Frage, man sich stellen kann, welche Maßnahmen sollen das bei US-Unternehmen sein? Organisatorisch, sprich das US-Unternehmen stellt sich gegen geltendes amerikanisches Recht und gibt die Daten nicht heraus? Sehr unwahrscheinlich. Und technisch? Ohne die Daten lückenlos und durchgehend zu verschlüsseln, also auch vor dem unverschlüsselten Zugriff des jeweiligen US-Unternehmens/der lokalen Behörden zu schützen, kann das unmöglich gewährleistet werden. Das allerdings macht die Verwendung vieler, wenn nicht der meisten Dienste, die US-IT-Unternehmen anbieten, unmöglich. Seien es Identitäts- und Zugriffsverwaltungsdienste, Kartendienste, und noch viele weitere Dienste.

Als einen Ausweg verweisen US-Unternehmen gern darauf, die Daten auf Server innerhalb der EU zu verlagern, die aber weiterhin dem amerikanischen Unternehmen gehören. Aus Sicht der Datenschutzbehörden zweifelhaft, da der amerikanische Gesetzgeber natürlich auch an solche Konstellationen gedacht hat und mithilfe des US-CLOUD Acts US-Unternehmen dazu verpflichtet, Zugriff auch auf diese Daten zu gewähren. [3]

Was tun als Unternehmen, welches auf Dienste von US-Unternehmen angewiesen ist? Kopf in den Sand stecken und hoffen, dass keine Datenschutzbeschwerde ins Haus flattert? Die Bewertung dieses Risiko obliegt dem jeweiligen Unternehmen und tatsächlich können die Strafen, die ein Verstoß gegen die DSGVO mit sich bringen kann, erheblich sein.

Gerade als kleineres oder mittelständisches Unternehmen müssen Sie sich daher der Risiken bewusst sein und diese realistisch bewerten.

Es gibt es zu vielen Diensten von US-IT-Unternehmen durchaus Alternativen europäischer Wettbewerber, die berücksichtigt werden sollten, damit sich die Risiken und Abhängigkeiten für Unternehmen nicht noch weiter erhöhen.

Einfach ignorieren wird hier sicher nicht die Lösung sein können.

Das Thema versprüht sicherlich einen etwas “trockenen” Charme, aber es ist ein wichtiges Thema und wird in Zukunft für Unternehmen sicher weiter an Wichtigkeit gewinnen.

Deshalb Glückwunsch, falls Sie es bis hierhergeschafft haben.

[1] https://curia.europa.eu/juris/liste.jsf?language=de&num=C-311/18

[2] https://curia.europa.eu/juris/document/document.jsf;jsessionid=48F410B4224047DB331EA858935C5A99?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=361186

[3] https://de.wikipedia.org/wiki/CLOUD_Act