Freiheitsstatue der USA

„Privacy-Shield“ am Ende – keine Daten mehr in die USA

Dieser Artikel wird laufend aktualisiert und erweitert. Aufgrund des komplizierten Themas werden sich die beteiligten Fachleute erst nach und nach mit Handlungsanweisungen in die Öffentlichkeit trauen. Bitte schauen Sie daher regelmäßig vorbei. Vielen Dank. (Stand: 29.07.2020)

Rechtsanwalt Marc Oliver Giel

Der europäische Gerichtshof (EuGH) urteilte am 16. Juli 2020 in der Rechtssache C-311/18 (Schrems II), dass das EU-US-Privacy-Shield ungültig ist. Datenübertragungen aus Europa in die USA können künftig nicht mehr hierauf gestützt werden und sind ab sofort unzulässig.

Vorgeschichte

Inhalt des Urteils


Stellungnahmen der Aufsichtsbehörden

Der Bundesbeauftragte für den Datenschutz

Pressemitteilung vom 16.07.2020: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/17_Schrems-II-Urteil.html

European Data Protection Board (edpb)

Am 23.07.2020 veröffentlichte der edpb ein FAQ-Dokument zum EuGH-Urteil. Dieses ist im Moment nur auf Englisch verfügbar.

Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK)

Die DSK hat am 28.07.2020 eine Pressemitteilung veröffentlicht, die ebenfalls sehr klare Anforderungen aufstellt:

Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden.

DSK, 28.07.2020

Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.

DSK 28.07.2020

Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

DSK 28.07.2020

Berlin

Die erste deutlichste Stellungnahme wurde bislang von der Berliner Datenschutzbeauftragten veröffentlicht. Sie schreibt u.a. in ihrer Pressemitteilung vom 17.07.2020:

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.

Maja Smoltczyk (Berliner Datenschutzbeauftragte)

Rheinland-Pfalz

Von dieser Aufsichtsbehörde liegt eine Pressemitteilung mit FAQ-Liste vor und ist hier einsehbar: https://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/


Auswirkungen auf Unternehmen

Betroffene Prozesse

Deutsche Unternehmen sind von diesem Urteil nicht nur in Bezug auf die Datenverarbeitung auf der Internetseite betroffen, sondern bei allen möglichen Geschäftsprozessen, wie z.B.:

  • Backup zu einem Hoster mit Sitz in den USA
  • CRM-System in der Cloud bei einem Anbieter mit Sitz in den USA
  • Entwickler von Software mit Sitz in den USA
  • ERP-Software in der Cloud von einem Anbieter mit Sitz in den USA
  • Datenspeicherung in der Cloud mit Sitz in den USA, z. B. Dropbox, Apple iCloud, google Drive, Microsoft Onedrive, Amazon Web Services (AWS)
  • E-Mail-Provider mit Sitz in den USA, z.B. Gmail
  • Kalender in der Cloud bei einem Anbieter mit Sitz in den USA
  • Kaufabwicklungs-System (Aftersales) bei einem Anbieter mit Sitz in den USA
  • Kollaborations-Software bei einem Anbieter mit Sitz in den USA
  • Messenger-System bei einem Anbieter mit Sitz in den USA
  • Newsletterversand, Nutzung eines Anbieters mit Sitz in den USA
  • Office-Paket in der Cloud, wie z.B. Office 365
  • Personalmanagement-Software in der Cloud von einem Anbieter mit Sitz in den USA
  • Support-Dienstleister mit Sitz in den USA
  • Telefonanlage in der Cloud bei einem Anbieter mit Sitz in den USA
  • Videokonferenzen über einen Anbieter mit Sitz in den USA, z. B. Microsoft Teams, Zoom, FaceTime, Google Hangouts, Whatsapp, Cisco Webex, BlueJeans, Adobe Connect
  • Website wird bei einem Webhoster in den USA gehostet

Betroffene Anbieter

Wenn Sie einen der nachfolgend genannten Dienste in den USA nutzen, müssen Sie sich mit dem Thema beschäftigen, weil diese Dienstleister sich in der Vergangenheit auf das Privacy-Shield berufen haben. Diese Liste ist nicht vollständig!

Amazon

  • Amazon Web Services (AWS): Datenspeicherung in der Cloud bei Amazon. Möglicher Workaround: ???. Alternativen: Hoster in Deutschland oder Europa

Apple

  • Apple iCloud: Datenspeicherung in der Cloud. Möglicher Workaround: ???. Alternativen: Hoster in Deutschland oder Europa
  • Apple iMessage: Nachrichtendienst. Möglicher Workaround: ???. Alternativen: Anbieter in Deutschland oder Europa, z.B. Threema (Schweiz)
  • Apple Pages, Numbers, Keynote: Office-Paket. Alternativen: Office-Paket nicht in der Cloud, sondern lokal installiert

Dropbox

  • Dropbox Datenspeicherung: Möglicher Workaround: ???. Alternativen: Anbieter in Deutschland oder Europa.

Facebook

  • Facebook: Social-Media-Plattform.
  • Facebook Messenger: Nachrichtendienst. Möglicher Workaround: ???. Alternativen: Anbieter in Deutschland oder Europa, z.B. Threema (Schweiz)
  • Instagram: Social-Media-Plattform.
  • WhatsApp: Nachrichtendienst. Möglicher Workaround: ???. Alternativen: Anbieter in Deutschland oder Europa, z.B. Threema (Schweiz)

Google

  • Google Analytics: Webtracking / Statistik durch Google auch zu eigenen Zwecken. Möglicher Workaround: Einholung der Einwilligung des Websitennutzers. Alternativen: selbstgehostetes Matomo
  • Google Maps: Onlinekartendarstellung / Navigation durch Google. Möglicher Workaround: Einholung der Einwilligung des Websitennutzers durch Layer über der Karte. Alternativen: nur Verlinkung zu Google Maps
  • Google Fonts: Webfonts durch Google. Möglicher Workaround: Einbindung der Webfonts in die eigene Website. Alternativen: auf Google Fonts verzichten und Standardfonts verwenden
  • Google Mail (Gmail): Mail-Kommunikation. Möglicher Workaround: Nutzung der kostenpflichtigen G Suite. Alternativen: Webhoster in Deutschland oder Europa
  • Google Cloud (Drive): Datenspeicherung in der Cloud. Möglicher Workaround: Nutzung der kostenpflichtigen G Suite. Alternativen: Hoster in Deutschland oder Europa
  • Google Kalender: Termine verwalten. Möglicher Workaround: Nutzung der kostenpflichtigen G Suite. Alternativen: Anbieter in Deutschland oder Europa
  • Google Kontakte: Kontakt verwalten. Möglicher Workaround: Nutzung der kostenpflichtigen G Suite. Alternativen: Anbieter in Deutschland oder Europa
  • Google Docs, Tabellen. Präsentationen: Office-Paket. Möglicher Workaround: Nutzung der kostenpflichtigen G Suite. Alternativen: Office-Paket nicht in der Cloud, sondern lokal installiert
  • YouTube: Videowiedergabe.

Microsoft

Stellungnahme von Microsoft an seine Kunden: https://news.microsoft.com/de-de/stellungnahme-zum-urteil-des-eugh-was-wir-unseren-kunden-zum-grenzueberschreitenden-datentransfer-bestaetigen-koennen/

  • Microsoft Office 365: Office-Paket in der Cloud. Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher). Alternativen: Office-Paket nicht in der Cloud, sondern lokal installiert
  • Microsoft OneDrive: Datenspeicher in der Cloud. Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher). Alternativen: Hoster in Deutschland oder Europa
  • Microsoft Teams: Kollaborationswerkzeug. Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher). Alternativen: ???

Newsletter-Anbieter

  • ActiveCampaign: Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher), Einholung wirksamer Einwilligungen (unsicher). Alternativen: Anbieter in Deutschland oder Europa
  • AWeber: Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher), Einholung wirksamer Einwilligungen (unsicher). Alternativen: Anbieter in Deutschland oder Europa
  • MailChimp: Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher), Einholung wirksamer Einwilligungen (unsicher). Alternativen: Anbieter in Deutschland oder Europa

Videokonferenz-Anbieter

  • Adobe Connect:
  • Apple FaceTime:
  • Cisco Webex:
  • Facebook Messenger:
  • Google Hangout:
  • Microsoft Teams, Microsoft Skype:
  • Verizon BlueJeans:
  • Zoom:

Für alle US-Anbieter gilt: Möglicher Workaround: End-to-End Verschlüsselung einsetzen (wenn vorhanden), Alternativen: Nutzung eines Videokonferenz-Anbieters mit Sitz in Deutschland oder Europa.


Erforderliche Maßnahmen / Todo

Da eine schnelle und rechtssichere Lösung seitens des Gesetzgebers nicht zu erwarten ist, müssen alle Unternehmen jetzt handeln und sich eine Strategie erarbeiten zur baldigen Umsetzung.

Analyse / Vorarbeiten

Sofern noch keine Übersicht aller Auftragsverarbeiter im Unternehmen erstellt wurde und auch kein Verzeichnis der Verarbeitungstätigkeiten vorliegt, muss als erstes eine solche Übersicht aller externen Datenverarbeitungen angefertigt werden. Folgende Tabelle (Einträge sind beispielhaft) kann dabei helfen:

Name des DienstleistersZweck der VerarbeitungRechtsgrundlage (alt)Ort der DatenverarbeitungAlternativeMaßnahme
Microsoft OnedriveSpeicherung der Kundendaten, SchriftverkehrPrivacy ShieldUSAHoster in EuropaR
Google AnalyticsWebtrackingEinwilligungUSAEinwilligung (mit Rechtsunsicherheit)E

Nach Erstellung der Liste sind alle Einträge in den Zeilen dahingehend zu überprüfen, ob eine Rückholung der Daten und Verarbeitung / Speicherung bei einem Anbieter in Deutschland oder Europa zeitnah und mit vertretbarem Aufwand umgesetzt werden kann. Alternativ ist zu überlegen, ob eine wirksame Einwilligung des Inhabers der Daten eingeholt werden kann. Eine mögliche Klassifizierung könnte wie folgt aussehen:

  • E: Einwilligung muss eingeholt werden (Unsicherheit, ob Einwilligung wirksam ist)
  • R: Rückholung der Daten zu europäischem Anbieter oder „on-premise“
  • SDK: Standardvertragsklauseln mit Anbieter vereinbaren (Diese sind allenfalls mit zusätzlichen Maßnahmen wirksam)
  • O: Vorerst keine Maßnahme umzusetzen, Risiko muss eingegangen werden

Umsetzung Schritt 1

Nach der Analyse sind die Maßnahmen anzugehen, die am schnellsten umgesetzt werden können. Dies kann beispielsweise sein bei reiner Datenspeicherung oder Backup in den USA und Neubeauftragung eines Anbieters in Europa. Die Daten müssen zum neuen Anbieter kopiert und beim Hoster in den USA unwiderruflich gelöscht werden.

Umsetzung Schritt 2

Als 2. Schritt könnten die Maßnahmen umgesetzt werden, die längere Überprüfungen beanspruchen, beispielsweise die Prüfung, ob die vom Anbieter in den USA zur Verfügung gestellten Standardvertragsklauseln wirksam sind.

Wiedervorlage

Die dann noch offenen Dienstleister müssen im Rahmen einer Wiedervorlage beispielsweise Anfang 2021 erneut geprüft werden.

Verweise zu anderen Quellen und Dokumenten

  • Der Europäische Datenschutzausschuss (EDPB) veröffentlichte bereits ein FAQ-Dokument zum Thema (pdf).
  • Der Kläger in dem Verfahren vor dem Europäischen Gerichtshof (Maximillian Schrems) beteiligt sich an der Organisation „NOYB – Europäisches Zentrum für digitale Rechte“ und diese veröffentlichte ebenfalls FAQ für EU-Unternehmen. Dort findet sich auch eine Liste von US-Unternehmen, die den Überwachungsgesetzen der USA ausgeliefert sind. Unter anderem schreibt er dazu:

Die meisten US-Cloud-Anbieter fallen unter FISA 702. Solche Anbieter werden Sie nicht mehr nutzen können.

noyb

Quellenangabe: Bild von ThePixelman auf Pixabay

Scroll to Top