Bitte beachten:
Dieser Artikel ist veraltet seit der Gültigkeit des Data Privacy Frameworks.
Seit SCHREMS II ist die Übertragung personenbezogener Daten in die USA nicht erlaubt. Was bedeutet das für Unternehmen?
Der Europäische Gerichtshof erklärte das Privacy Shield für ungültig. Das Urteil nennt sich SCHREMS II. In diesem Artikel geben wir einen Überblick, was das Privacy Shield war, welche Tragweite das Urteil zur Ungültigkeit hat und ob es Lösungen gibt.
- Bitte beachten:
- Seit SCHREMS II ist die Übertragung personenbezogener Daten in die USA nicht erlaubt. Was bedeutet das für Unternehmen?
- Was war das Privacy Shield?
- Was hat sich geändert durch das EuGh-Urteil Schrems II?
- Warum ist das Privacy Shield im Rahmen von Schrems II für ungültig erklärt worden?
- Up to date bleiben!
- Welche Lösung gibt es für das Privacy Shield-Urteil?
Was war das Privacy Shield?
Das Privacy Shield heißt im deutschsprachigen Raum auch Datenschutzschild. Es bezeichnet eine EU-Kommissionsentscheidung vom 12. Juli 2016. Die Datenschutzgrundverordnung erfordert je Drittland (Länder außerhalb der EU) eine explizite Entscheidung der EU-Kommission, ob in das Datenschutzniveau mit dem in der EU vergleichbar ist. Das Privacy Shield definierte, dass das Datenschutzniveau in den USA dem der EU entspricht. Es war die Rechtsgrundlage, mit der US-Dienstleister wie Google, Facebook, Amazon, Microsoft etc. personenbezogene Daten von Personen verarbeiten dürfen, die sich in der EU befinden. Auch war es die Rechtsgrundlage, auf die sich Europäische Unternehmen beziehen konnten, wenn Sie beispielsweise personenbezogene Daten auf der Cloud eines US-Anbieters verarbeiten lassen wollten.
Der Vorgänger des Privacy Shields nannte sich „Safe Harbor“. Safe Harbor wurde aber schon 2015 vom Europäischen Greichtshof im Rahmen des Urteils Schrems I für ungültig erklärt.
Was hat sich geändert durch das EuGh-Urteil Schrems II?
Am 16. Juli 2020 hat der Europäische Gerichtshof das Privacy Shield für ungültig erklärt. Diese Entscheidung wird Privacy-Shield-Urteil oder auch Schrems II genannt. Hintergrund war ein Rechtsverfahren zwischen dem Data Commissioner on Irland und dem Jurist und Datenschutz-Aktivist Max Schrems. Seit Schrems II gibt keine Rechtsgrundlage mehr für die Verarbeitung personenbezogener Daten durch US-Dienstleister.
Warum ist das Privacy Shield im Rahmen von Schrems II für ungültig erklärt worden?
Max Schrems argumentierte, dass personenbezogene Daten in den USA nicht ausreichend geschützt sind. Der EuGh bestätigte diese Ansicht. Die Übertragung verletze Grundrechte, die in Artikel 8 der Charta der Grundrechte der Europäischen Union definiert sind. Hintergrund sind die umfangreichen Überwachungsgesetze in den USA.
Im Widerspruch: Überwachung in den USA und Grundrechte in der EU
Welche Überwachungsgesetze gelten in den USA?
In den USA gelten die Überwachungsgesetze „Foreign Intelligence Surveillance Act“ (FISA), Patriot Act und der CLOUD Act. Insbesondere der FISA stellt eine Inkompatibilität mit den Grundrecht auf Schutz der personenbezogenen Daten dar. Der FISA erlaubt es US-Behörden auf alle Daten zuzugreifen, die durch US-Unternehmen verarbeitet werden. Wenn ein EU-Unternehmen zum Beispiel die AWS- oder Google-Cloud nutzt und dort personenbezogene Daten ihrer Kunden verarbeitet, dürfen US-Behörden darauf zugreifen. Die Überwachung muss nur im Interesse der USA sein. Das kann zur Terrorabwehr sein, schließt aber auch Wirtschaftsspionage nicht aus.
Der FISA widerspricht sich mit den Anforderungen der GDPR, die sich am Ende auf die Charta der Grundrechte der Europäischen Union stützen.
Notwithstanding any other law, the President, through the Attorney General, may authorize electronic surveillance without a court order under this title to acquire foreign intelligence information […]
Foreign Intelligence Surveillance Act
Eine Zusammenfassung des Deutschen Bundestags zu den Daten-Zugriffsrechten von US-Behörden.
Welche Grundrechte sind nicht mit dem Privacy Shield vereinbar?
Artikel 8 legt den Schutz der personenbezogenen Daten fest. Der Wortlaut ist wie folgt:
Art. 8
Schutz personenbezogener Daten(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.
Charta der Grundrechte der Europäischen Union
Die Charta der Grundrechte der Europäischen Union im Original
Up to date bleiben!
Möchten Sie künftig über Datenschutzthemen und die Arbeit und Angebote von privacy provided informiert werden, melden Sie sich zu unserem Newsletter an.
Sie können uns auch auf Linkedin folgen, aber der Datenschutz liebt Email.
Welche Lösung gibt es für das Privacy Shield-Urteil?
Kurz gesprochen: keine. Die Überwachungsgesetze der USA und die Datenschutz-Anforderungen der EU widersprechen sich. Entweder die EU wertet die Grundrechte ab oder die USA entschärfen die Überwachungsgesetze.
Diverse Lösungsansätze für Schrems II sind ungültig:
Myth 1
Ist die Speicherung der Daten auf Servern in der EU eine ausreichende Alternative zum Privacy Shield?
nein. Der FISA hat keinen geografischen Bezug. Sind die Daten auch auf Servern in der EU gespeichert, muss das US-Unternehmen den Behörden die Daten dennoch bereit stellen.
Myth 2
Hilft es, wenn die Daten ausschließlich durch ein Tochterunternehmen des US-Unternehmens verarbeitet werden?
nein. Die US-Zentralen müssen ihrer Tochtergesellschaften anweisen, die Daten bereit zu stellen.
Myth 3
Privacy Shield: Hilft es, die Daten zu verschlüsseln?
jein. Verschlüsselte personenbezogene Daten sind immer noch personenbezogene Daten. Das heißt, befindet sich der Schlüssel ebenfalls in der Hand des US-Dienstleisters, muss dieser ihn auch den Behörden bereit stellen. Werden Daten hingegen vor der Übergabe an den US-Dienstleister verschlüsselt und der Schlüssel befindet sich nicht der Hand des US-Dienstleisters, ist dies eine denkbare technische Maßnahme. In den meisten Fällen ist dieser Ansatz aber nicht praktikabel, da eine Verarbeitung auf den Serven des US-Dienstleisters erfolgen soll. Dazu muss der US-Dienstleister die Daten entschlüsseln. Dann sie im Zugriff des Dienstleisters und damit im Zugriff der US-Behörden.
Myth 4
Helfen die neuen Standardvertragsklausen (SCC)?
nein. Sie lösen in keiner Weise den Konflikt zwischen den US-Überwachungsgesetzen und den Datenschutzanforderungen der EU.
Weitere Video-Mitschnitte unserer Talks mit Max Schrems finden Sie auf unserer Video-Seite.