Wenn Vereinbarungen zum transatlantischen Datenschutz wie Safe Harbor und Privacy Shield für ungültig erklärt werden, was bedeutet das für die Datensicherheit von Unternehmen hierzulande?
Wer von uns kann sich einen Alltag ohne Google, YouTube, Facebook, Twitter, Instagram, Spotify, LinkedIn, Zoom und viele andere vorstellen? Wer würde einen Tag, eine Woche, einen Monat, ganz und gar ohne klarkommen? Hand aufs Herz, niemand. So wie die Dienste aus dem privaten Umfeld kaum mehr wegzudenken sind, nutzen Unternehmen die Dienste wie Google Analytics, YouTube, etc. um ihre Kunden digital zu erreichen und analysieren.
Am 16. Juli 2020 hat der europäische Gerichtshof, das oberste rechtsprechende Organ der EU, der Klage von Datenschutzaktivist Max Schrems stattgegeben. Damit ist nach Safe Harbor auch die nachfolgende Datenschutz-Vereinbarung Privacy Shield gekippt, da die USA den strengen Datenschutzrichtlinien der EU nicht nachkommt. Insbesondere sind Daten aufgrund des amerikanischen Überwachungsgesetztes nicht vor dem Zugriff von US-Behörden oder Geheimdiensten geschützt.
Während es Schrems vorrangig um den Umgang mit Daten bei Facebook ging, hat das Urteil weitreichende Folgen für viele US-Tech-Giganten. Es bedeutet für europäische Firmen, dass der transatlantische Datentransfer von personenbezogenen Daten ihrer Kunden und Nutzer und die Weiterverarbeitung der Daten in den USA illegal ist.
Standarddatenschutzklauseln nur bedingt eine Alternative
Alternativ zum Privacy Shield können Unternehmen auch Standardvertragsklauseln nutzen, die die EU für die Datenübermittlung erstellt hat. Jedoch muss der Exporteur und Empfänger vor der Datenübermittlung überprüfen, ob in dem Drittland ein Datenschutz entsprechend des DSGVO möglich ist. Max Schrems sieht das Überwachungsgesetz der USA im Gegensatz zur DSGVO und hält Standarddatenschutzklauseln für keine Alternative.
Was sollten Unternehmen tun? Genau hinsehen…
Noch ist nicht klar, wie Behörden mit dem Urteil genau umgehen. Sicher sind Unternehmen auf beiden Seiten interessiert an einem Ausweg. Inwiefern jedoch ein weiteres abgewandeltes Abkommen entworfen wird oder sich an der Gesetzgebung etwas ändert, steht noch in den Sternen.
Firmen drohen empfindliche Bußgelder, wenn sie beispielsweise cloudbasierte Services und Tools nutzen, die im Hintergrund personenbezogene Kunden- oder Mitarbeiterdaten in die USA übermitteln. Kurzfristige Maßnahmen und Empfehlungen stellt Max Schrems über seine Non-Profit-Organisation noyb zur Verfügung.
Insbesondere für KMUs bedeutet eine Überprüfung der Datenflüsse und eventuelle Maßnahmen ein großer Aufwand. Schließlich sind gerade sie es, die kostengünstige Tools von US-Firmen nutzen. Ob diese Dienste allerdings immer noch günstig bleiben, wenn für das Thema Datenschutz Zeit und Geld in die Hand genommen werden muss, sei dahingestellt.
Oder umziehen: Datensicherheit „made in Germany“
So einfach und angenehm US-Clouddienste sind, jetzt wird die Nachfrage nach einer Datenhaltung auf europäischem Boden steigen. „Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen“, so interpretiert die Berliner Datenschutzbeauftragte Maja Smoltczyk das Urteil. Ein deutscher Anbieter mit Datenhaltung auf deutschen Servern steht unter deutscher Rechtsprechung. Mit dieser Alternative ist ein DSGVO-konformer Datenumgang gewiss. Insofern gilt heimisches Daten-Hosting mit den entsprechenden Tools und Services dazu wieder als Wettbewerbsvorteil und attraktiv.
Genau aus dem Grund setzen wir uns für einen sicheren Umgang mit Daten ein, ganz im Sinne des alten Traditionssiegels „made in Germany“. Und jetzt stellt sich die Frage an euch: Quo vadis?