EuGH kippt Privacy Shield

Darauf müssen Sie jetzt beim Datentransfer achten!

Bildquelle: Adobe Stock / sdecoret

Ab sofort gilt: Vorsicht beim Versenden von personenbezogenen Daten in nichteuropäische Staaten. Denn am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) den sogenannten Privacy Shield gekippt. Dabei handelte es sich um einen Pakt zwischen Europa und den USA, der sicherstellen sollte, dass Europäer bei der Verarbeitung ihrer Daten in den Vereinigten Staaten das gleiche Schutzniveau zuteil wird wie etwa hier in Deutschland.

Ausgangspunkt war ein Rechtsstreit, bei dem der österreichische Datenschutzaktivist Maximilian Schrems die Datenübertragung bei Facebook von Irland in die USA monierte. Denn dort sind Unternehmen verpflichtet, Behörden wie FBI oder NSA Daten zugänglich zu machen, ohne dass die Betroffenen etwas dagegen unternehmen können. Schrems hatte übrigens auch 2015 schon angestoßen, dass das Vorgängerabkommen „Safe Harbour“ zu Fall kam.

Mit dem aktuellen Urteil sorgt der EuGH nun dafür, dass personenbezogene Daten nicht mehr auf Grundlage des Privacy Shields in Drittstaaten transferiert werden dürfen. Für Unternehmen, die etwa Daten zur Verarbeitung an eine Muttergesellschaft in die USA senden, oder auf Software- oder Cloud-Dienste mit Datenhaltung in diesen Ländern zurückgreifen, bedeutet das, dass sie sich umgehend nach einer Alternative umsehen müssen. Denn das Urteil ist ab sofort rechtskräftig.

Nach wie vor möglich ist, sich gemäß Artikel 45 der DSGVO auf die sogenannten Standardvertragsklauseln zu beziehen. Darin wird zwar das erforderliche Schutzniveau im Drittland festgehalten. Der hier für die Daten Verantwortliche muss dies aber vor Ort überprüfen und dann nachweisen können. Das ist nicht nur kostspielig, sondern auch schlichtweg kaum praktikabel. Neue Lösungen sind gefragt, bei der gegenwärtigen transatlantischen Beziehungslage wohl aber nicht zum Greifen nahe.

Besondere Relevanz besitzt dieses Urteil für die Personalabteilungen, die ja besondere Kategorien von personenbezogenen Daten verarbeiten. Wer also derzeit nicht gezwungen ist, einem Mutterkonzern Daten zu übermitteln, der belässt diese besser in der Europäischen Union. Das könnte beispielsweise durch die Nutzung von Software, Speicherplatz oder auch Services geschehen, die in der EU angesiedelt und damit schon rein physisch nach den gesetzlichen Vorgaben aufgestellt sind. Einfaches Beispiel: Liegen die Daten statt auf Überseeservern in den Vereinigten Staaten in der Private Cloud des VEDA-Rechenzentrums in Alsdorf oder erfolgt der Payroll-Service nicht in Indien, sondern am VEDA-Standort Leipzig, dann weisen zudem Zertifikate nach DIN ISO 9001:2008 oder „Check 28“ zur DSGVO oder das BITMi-Gütesiegel „Software hosted in Germany“ die normgerecht sensible Behandlung der Daten nach.

Mehr dazu, wie sich Software, Services und sensible Daten sicher und DSGVO-konform in der Cloud speichern und verarbeiten lassen, lesen Sie hier: