EuroCloud: Datenschutz ohne EU-US Pivacy Shield – so geht’s

Der Europäische Gerichtshof hat die EU-US-Privacy Shield-Vereinbarung im Juli 2020 gekippt. Damit dürfen Cloud-Anbieter und andere Unternehmen personenbezogene Daten nicht mehr auf dieser Grundlage in die USA übertragen. Es gibt keine Übergangszeit. Daher sollten Cloud-Anbieter jetzt handeln und ihre Datenschutzhinweise nach Artt. 13, 14 DS-GVO sofort prüfen und gegebenenfalls korrigieren, rät Dr. Jens Eckhardt, Vorstand Recht & Compliance bei EuroCloud Deutschland_eco e. V. Wer das versäumt riskiere ein Bußgeld und Schadensersatzansprüche betroffener Personen.

Doch selbst mit üblichen Standardvertragsklauseln ist es zumindest für die Übertragung von personenbezogenen Daten in die USA nicht getan. „Der EuGH hat in seinem Urteil „Schrems II“ zwar diese Standardvertragsklauseln nicht für unwirksam erklärt, aber gleichzeitig klargestellt, dass geprüft werden muss, ob im Empfängerland ein ausreichendes Datenschutzniveau besteht“, sagt Dr. Jens Eckhardt.

Nicht jeder Drittlandtransfer ist ausgeschlossen, aber die Ausnahmen sind eng

Jeder, der Daten auf der Grundlage von Standardvertragsklauseln exportieren möchte, muss – so der EuGH – also vorher feststellen, ob im Empfängerland ein aus der Sicht des EU Datenschutzrechts angemessenes Datenschutzniveau herrscht.

Mittelständischen Cloud-Service-Providern dürfte es jedoch schwerfallen zu überprüfen und zu belegen, dass in den USA – oder einem anderen Drittland – für ausreichend Datenschutz gesorgt ist. Ähnlichen Bedenken begegnet daher auch der Datentransfer auf der Grundlage sogenannter Binding Corporate Rules. Mit anderen Worten: Die einfachen Standardinstrumente zum Datentransfer in die USA stehen nachhaltig auf dem Prüfstand.

Ohne diese Standinstrumente kommt nach Artikel 49 DS-GVO eine solche Datenübertragung nur in vier Ausnahmefällen in Betracht, nämlich wenn…

  1. …die betroffene Person ausdrücklich in die Datenübermittlung eingewilligt hat, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.
  2. …die Übermittlung für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich ist.
  3. …die Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich ist oder
  4. …die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Doch in der Praxis sind diese Ausnahmefälle nur schwer zu realisieren. Sollen entsprechend dem obigen Punkt 1 konkrete Einwilligungen der betroffenen Personen eingeholt werden, ist es nötig, sie zu informieren, dass ihre Daten in einen entsprechenden Drittstaat übermittelt werden – inklusive dem Hinweis auf alle Risiken und dass dort das Datenschutzniveau nicht dem europäischen entspricht. „Die Wirksamkeit einer solchen Einwilligung hängt von ihrer Transparenz und Vollständigkeit ab“, sagt Dr. Jens Eckert. „Diese will daher gut beraten und sorgfältig gestaltet sein.“ Auch dann sei es fraglich, ob alle Nutzer dem zustimmen.

Einen Ausweg aus dem Dilemma können technische Alternativen bieten – wie beispielsweise die Verschlüsselung der persönlichen Daten vor der Übertragung oder Treuhandlösungen. Beides ist geeignet, einen Zugriff auf die Daten aus den USA zu verhindern. Diese bedürfen aber ebenfalls der genauen Betrachtung. Unternehmen sollten das Problem auf jeden Fall zügig angehen und auf keinen Fall aussitzen.

Download EuroCloud rechtliche Einschätzung zum gekippten EU-US Privacy-Shield inklusive Checkliste


Beitrag teilen: