Freiheitsstatue der USA

„Privacy-Shield“ am Ende – keine Daten mehr in die USA

Dieser Artikel wird laufend aktualisiert und erweitert. Aufgrund des komplizierten Themas werden sich die beteiligten Fachleute erst nach und nach mit Handlungsanweisungen in die Öffentlichkeit trauen. Bitte schauen Sie daher regelmäßig vorbei. Vielen Dank. (Stand: 14.09.2020)

Rechtsanwalt Marc Oliver Giel

Der europäische Gerichtshof (EuGH) urteilte am 16. Juli 2020 in der Rechtssache C-311/18 (Schrems II), dass das EU-US-Privacy-Shield ungültig ist. Datenübertragungen aus Europa in die USA können künftig nicht mehr hierauf gestützt werden und sind ab sofort unzulässig.

Vorgeschichte und Inhalt des Urteils

Die Aufsichtsbehörde in Baden-Württemberg hat in seiner Orientierungshilfe vom 24.08.2020 die Fakten sehr gut verständlich zusammengefasst. Daher wird an dieser Stelle hierauf verwiesen.


Stellungnahmen der Aufsichtsbehörden

Der Bundesbeauftragte für den Datenschutz

Pressemitteilung vom 16.07.2020: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/17_Schrems-II-Urteil.html

European Data Protection Board (edpb)

Am 23.07.2020 veröffentlichte der edpb ein FAQ-Dokument zum EuGH-Urteil. Dieses ist im Moment nur auf Englisch verfügbar.

Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK)

Die DSK hat am 28.07.2020 eine Pressemitteilung veröffentlicht, die ebenfalls sehr klare Anforderungen aufstellt:

Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden.

DSK, 28.07.2020

Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.

DSK 28.07.2020

Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

DSK 28.07.2020

Baden-Württemberg

Ein sehr gut verständliche Orientierungshilfe hat diese Aufsichtsbehörde am 24.08.2020 veröffentlicht. Dazu gibt es mittlerweile eine überarbeitete 2. Auflage, die am 8. September 2020 veröffentlicht wurde und hier abrufbar ist.

Berlin

Die erste deutlichste Stellungnahme wurde bislang von der Berliner Datenschutzbeauftragten veröffentlicht. Sie schreibt u.a. in ihrer Pressemitteilung vom 17.07.2020:

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.

Maja Smoltczyk (Berliner Datenschutzbeauftragte)

Hamburg

Von dieser Aufsichtsbehörde liegt eine Pressemitteilung vom 16.07.2020 vor.

Nordrhein-Westfalen

Von dieser Aufsichtsbehörde liegt eine Pressemitteilung vor.

Rheinland-Pfalz

Von dieser Aufsichtsbehörde liegt eine Pressemitteilung mit FAQ-Liste vor und ist hier einsehbar: https://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/

Am 24.07.2020 teilte die Aufsichtsbehörde in einer Stellungnahme mit, dass sie künftig an Unternehmen herantreten werde und die Übermittlungen in Drittländern überprüfen wolle:

„Da dies ab sofort nicht mehr möglich ist, müssen von dem Verantwortlichen Maßnahmen getroffen und erläutert werden, wie künftig die entsprechenden Datenverarbeitungen gestaltet sein werden. Dazu müssen die Unternehmen aussagefähig sein.“

Insbesondere zur Übermittlung in die USA auf Basis von Standardvertragsklauseln äußert sich die Behörde wie folgt:

„Die Standardvertragsklauseln müssen ggf. durch weitere Vereinbarungen oder Elemente ergänzt werden, um sicherzustellen, dass bei der Datenübermittlung in den Drittstaat das angemessene Schutzniveau erhalten ist. Für Datenübermittlungen in die USA bedeutet dies, dass erhebliche Anstrengungen der Verantwortlichen erforderlich sind, die vermutlich nur in seltenen Fällen als ausreichend angesehen werden können.“

Außerdem wird angekündigt, dass nun auch die Übermittlung in andere Drittländer genauer überprüft werden würde:

„Zugleich müssen die Verantwortlichen ihre Datenübermittlungen in andere Drittstaaten, z.B. Indien, China oder Russland daraufhin prüfen, ob sie dem Datenschutzniveau entsprechen, das die Datenschutz-Grundverordnung verlangt. Dies war vorher schon so und ist nunmehr erst recht dringend erforderlich, hier werden einschlägige Nachprüfungen angeraten.“

Bei den möglichen Konsequenzen nimmt die Behörde kein Blatt vor den Mund:

„Falls die Verantwortlichen dies nicht tun, wird der LfDI Rheinland-Pfalz entsprechende Maßnahmen ergreifen. Im Fall von Untätigkeit oder nachhaltiger Unwilligkeit der Unternehmen, kommen auch weitere Sanktionen in Betracht.“

Immerhin scheinen Geldbußen nur als „ultima ratio“, also „letztes Mittel“ zu dienen:

„Konkret kommen insbesondere entsprechende Anordnungen in Frage, mit denen ein rechtswidriger Zustand abgestellt wird. Im Fall von anhaltenden und nachhaltigen Verstößen stehen auch Geldbußen im Raum.“

Thüringen

Von dieser Aufsichtsbehörde liegt eine Pressemitteilung vom 16.07.2020 vor.


Auswirkungen auf Unternehmen

Betroffene Prozesse

Deutsche Unternehmen sind von diesem Urteil nicht nur in Bezug auf die Datenverarbeitung auf der Internetseite betroffen, sondern bei allen möglichen Geschäftsprozessen, wie z.B.:

  • Backup zu einem Hoster mit Sitz in den USA
  • CRM-System in der Cloud bei einem Anbieter mit Sitz in den USA
  • Entwickler von Software mit Sitz in den USA
  • ERP-Software in der Cloud von einem Anbieter mit Sitz in den USA
  • Datenspeicherung in der Cloud mit Sitz in den USA, z. B. Dropbox, Apple iCloud, google Drive, Microsoft Onedrive, Amazon Web Services (AWS)
  • E-Mail-Provider mit Sitz in den USA, z.B. Gmail
  • Kalender in der Cloud bei einem Anbieter mit Sitz in den USA
  • Kaufabwicklungs-System (Aftersales) bei einem Anbieter mit Sitz in den USA
  • Kollaborations-Software bei einem Anbieter mit Sitz in den USA
  • Messenger-System bei einem Anbieter mit Sitz in den USA
  • Newsletterversand, Nutzung eines Anbieters mit Sitz in den USA
  • Office-Paket in der Cloud, wie z.B. Office 365
  • Personalmanagement-Software in der Cloud von einem Anbieter mit Sitz in den USA
  • Support-Dienstleister mit Sitz in den USA
  • Telefonanlage in der Cloud bei einem Anbieter mit Sitz in den USA
  • Videokonferenzen über einen Anbieter mit Sitz in den USA, z. B. Microsoft Teams, Zoom, FaceTime, Google Hangouts, Whatsapp, Cisco Webex, BlueJeans, Adobe Connect
  • Website wird bei einem Webhoster in den USA gehostet

Betroffene Anbieter

Wenn Sie einen der nachfolgend genannten Dienste in den USA nutzen, müssen Sie sich mit dem Thema beschäftigen, weil diese Dienstleister sich in der Vergangenheit auf das Privacy-Shield berufen haben. Diese Liste ist nicht vollständig!

Amazon

  • Amazon Web Services (AWS): Datenspeicherung in der Cloud bei Amazon. Möglicher Workaround: ???. Alternativen: Hoster in Deutschland oder Europa

Apple

  • Apple iCloud: Datenspeicherung in der Cloud. Möglicher Workaround: ???. Alternativen: Hoster in Deutschland oder Europa
  • Apple iMessage: Nachrichtendienst. Möglicher Workaround: ???. Alternativen: Anbieter in Deutschland oder Europa, z.B. Threema (Schweiz)
  • Apple Pages, Numbers, Keynote: Office-Paket. Alternativen: Office-Paket nicht in der Cloud, sondern lokal installiert

Dropbox

  • Dropbox Datenspeicherung: Möglicher Workaround: ???. Alternativen: Anbieter in Deutschland oder Europa.

Facebook

  • Facebook: Social-Media-Plattform.
  • Facebook Messenger: Nachrichtendienst. Möglicher Workaround: ???. Alternativen: Anbieter in Deutschland oder Europa, z.B. Threema (Schweiz)
  • Instagram: Social-Media-Plattform.
  • WhatsApp: Nachrichtendienst. Möglicher Workaround: ???. Alternativen: Anbieter in Deutschland oder Europa, z.B. Threema (Schweiz)

STANDARDVERTRAGSKLAUSELN

WhatsApp erklärt auf seiner Homepage:
„Wir verwenden von der Europäischen Kommission genehmigte Standardvertragsklauseln und verlassen uns möglicherweise für Datenübermittlungen aus dem Europäischen Wirtschaftsraum in die USA und andere Länder soweit anwendbar auf die von der Europäischen Kommission erlassenen Angemessenheitsbeschlüsse bezüglich bestimmter Länder.“

Google

UPDATE vom 04.08.2020 bezüglich Google Ads

Google teilte seinen Nutzern am 03.08.2020 per E-Mail mit, dass man sich künftig für Datenübertragungen in die USA auf die Standardvertragsklauseln berufe:
„… Google will be moving to Standard Contractual Clauses (SCCs) for transfers of online advertising and measurement personal data out of the Europe Economic Area, Switzerland and the UK.“

Die „Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte“ Version 1.4 (Stand 01.01.2020) sind hier zu finden.
Die „Datenverarbeitungsbedingungen zwischen Verantwortlichen für Google Werbeprodukte“ Version 1.3 (Stand 01.01.2020) sind hier abrufbar.

Diese Dokumente würden zum 12.08.2020 aktualisiert. Hier muss man die Updates abwarten und prüfen, für welche Google-Produkte diese gelten. Dann kann man nähere Empfehlungen aussprechen.

  • Google Analytics: Webtracking / Statistik durch Google auch zu eigenen Zwecken. Möglicher Workaround: Einholung der Einwilligung des Websitennutzers. Alternativen: selbstgehostetes Matomo
  • Google Maps: Onlinekartendarstellung / Navigation durch Google. Möglicher Workaround: Einholung der Einwilligung des Websitennutzers durch Layer über der Karte. Alternativen: nur Verlinkung zu Google Maps
  • Google Fonts: Webfonts durch Google. Möglicher Workaround: Einbindung der Webfonts in die eigene Website. Alternativen: auf Google Fonts verzichten und Standardfonts verwenden
  • Google Mail (Gmail): Mail-Kommunikation. Möglicher Workaround: Nutzung der kostenpflichtigen G Suite. Alternativen: Webhoster in Deutschland oder Europa
  • Google Cloud (Drive): Datenspeicherung in der Cloud. Möglicher Workaround: Nutzung der kostenpflichtigen G Suite. Alternativen: Hoster in Deutschland oder Europa
  • Google Kalender: Termine verwalten. Möglicher Workaround: Nutzung der kostenpflichtigen G Suite. Alternativen: Anbieter in Deutschland oder Europa
  • Google Kontakte: Kontakt verwalten. Möglicher Workaround: Nutzung der kostenpflichtigen G Suite. Alternativen: Anbieter in Deutschland oder Europa
  • Google Docs, Tabellen. Präsentationen: Office-Paket. Möglicher Workaround: Nutzung der kostenpflichtigen G Suite. Alternativen: Office-Paket nicht in der Cloud, sondern lokal installiert
  • YouTube: Videowiedergabe. ???

G Suite-Bedingungen (UPDATE vom 12. August 2020)

Für die kostenpflichtige G Suite verweist Google auf sein Data Processing Amendment, was seit dem 12.08.2020 in der Version 2.3 veröffentlicht wird. Dazu gehören dann auch die Standardvertragsklauseln in der Version 1.4

Google bietet hier ein Center für Verträge und Bedingungen (für Cloud und G Suite) an, das man regelmäßig auf Updates überprüfen sollte.
Eine Liste der Unterauftragnehmer für die G Suite stellt Google hier zur Verfügung.

Google Cloud Platform (UPDATE vom 10. August 2020)

Für die Nutzung der Google Cloud Plattform veröffentlicht Google Data Processing Terms mit dem Stand vom 10.08.2020 und dazugehörige Standardvertragsklauseln mit dem Stand 01.08.2018 in der Version 1.6.

Google bietet hier ein Center für Verträge und Bedingungen (für Cloud und G Suite) an, das man regelmäßig auf Updates überprüfen sollte.

Google Analytics

In dieser Datenschutzinformation hat Google Informationen zusammengetragen, die für Besucher von Webseiten gelten, auf denen der Webseitenbetreiber Google Analytics einsetzt.

Google hat außerdem Datenverarbeitungsbedingungen (Stand 04.09.2019) veröffentlicht, in denen sich Google als Auftragsverarbeiter sieht und verweist auf den Auftragsverarbeitungsvertrag (Stand 01.01.2020).

Die Nutzungsbedingungen für Google Analytics werden hier veröffentlicht (Stand 17.06.2019). Dort erteilt man Google tatsächlich die Einwilligung in die Nutzung der mittels Google Analytics erhobenen Daten in Ziffer 6:

Sie erklären sich damit einverstanden, dass Google oder seine verbundenen Unternehmen Informationen über Ihre Benutzung des Service (einschließlich und ohne Einschränkung auch von Kundendaten) speichert und für die Zwecke der Bereitstellung des Webanalyse- und Trackingdienstes nutzt, soweit dies im Rahmen der Bedingungen von Googles Privacy Policy (abrufbar unter https://www.google.com/policies/privacy/) oder unter jeder anderen, zu einem späteren Zeitpunkt zu diesem Zweck von Google benannten URL) erfolgt.

Ads Data Hub, Google Ads Customer Match, Google Ads Store sales (direct upload)

In diesem Auftragsdatenverarbeitungsbedingungen veröffentlicht Google die Inhalt der Vereinbarung zwischen dem Verantwortlichen und Google als Auftragsverarbeiter (Auftragsverarbeitung). Das Dokument hat die Version 1.4 vom 01.01.2020. Dieses Dokument soll zum 12.08.2020 geändert werden.

Google AdMob, Google AdSense, Google Ads (including Shopping and Hotel Ads, but not Google Ads features where we act as a processor of personal data – see above), Google Ad Manager, Google Customer Reviews, Google Maps APIs, Waze Audio SDK

In diesen Datenverarbeitungsbedingungen veröffentlicht Google die Inhalte der Vereinbarung für die Gemeinsame Verantwortlichkeit (Joint Controller). Das Dokument hat die Version 1.3 vom 01.01.2020. Dieses Dokument soll zum 12.08.2020 geändert werden.

Microsoft

Stellungnahme von Microsoft an seine Kunden: https://news.microsoft.com/de-de/stellungnahme-zum-urteil-des-eugh-was-wir-unseren-kunden-zum-grenzueberschreitenden-datentransfer-bestaetigen-koennen/

  • Microsoft Office 365: Office-Paket in der Cloud. Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher). Alternativen: Office-Paket nicht in der Cloud, sondern lokal installiert
  • Microsoft OneDrive: Datenspeicher in der Cloud. Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher). Alternativen: Hoster in Deutschland oder Europa
  • Microsoft Teams: Kollaborationswerkzeug. Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher). Alternativen: ???

Newsletter-Anbieter

  • ActiveCampaign: Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher), Einholung wirksamer Einwilligungen (unsicher). Alternativen: Anbieter in Deutschland oder Europa
  • AWeber: Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher), Einholung wirksamer Einwilligungen (unsicher). Alternativen: Anbieter in Deutschland oder Europa
  • MailChimp: Möglicher Workaround: Abschluss der Standardvertragsklauseln (unsicher), Einholung wirksamer Einwilligungen (unsicher). Alternativen: Anbieter in Deutschland oder Europa

Videokonferenz-Anbieter

  • Adobe Connect:
  • Apple FaceTime:
  • Cisco Webex:
  • Facebook Messenger:
  • Google Hangout:
  • Microsoft Teams, Microsoft Skype:
  • Verizon BlueJeans:
  • Zoom:

Für alle US-Anbieter gilt: Möglicher Workaround: End-to-End Verschlüsselung einsetzen (wenn vorhanden), Alternativen: Nutzung eines Videokonferenz-Anbieters mit Sitz in Deutschland oder Europa.

Mögliche Alternativen:
  • edudip Cloud-Anbieter mit Sitz in Aachen, Pakete mit 30, 100 oder bis zu 1000 gleichzeitigen Teilnehmern
  • FastViewer Anbieter mit Sitz in München, bis zu 100 gleichzeitigen Teilnehmern, Kauf- oder Mietversion
  • jitsi.org gibt es auch als App (Jitsi Meet), kostenfrei
  • Mikogo Cloud-Anbieter mit Sitz in München, bis zu 25 gleichzeitigen Teilnehmern
  • Rakuten Viber Cloud-Anbieter mit Sitz in Luxemburg, wirbt mit End-zu-End-Verschlüsselung, es würden auch „nichts“ auf Viber Servern gespeichert, allerdings nur zwischen 2 Personen möglich
  • Speed.me Selbstgehostete Videokonferenzlösung, 6 gleichzeitige Teilnehmer an einer Sitzung, 10 parallele Sitzungen
  • Wire Anbieter mit Sitz in der Schweiz, Server in der EU. Ende-zu-Ende-Verschlüsselung, nur bis zu 4 gleichzeitigen Teilnehmern, gibt es auch self-hosted


Erforderliche Maßnahmen / Todo

Da eine schnelle und rechtssichere Lösung seitens des Gesetzgebers nicht zu erwarten ist, müssen alle Unternehmen jetzt handeln und sich eine Strategie erarbeiten zur baldigen Umsetzung.

Analyse / Vorarbeiten

Sofern noch keine Übersicht aller Auftragsverarbeiter im Unternehmen erstellt wurde und auch kein Verzeichnis der Verarbeitungstätigkeiten vorliegt, muss als erstes eine solche Übersicht aller externen Datenverarbeitungen angefertigt werden. Folgende Tabelle (Einträge sind beispielhaft) kann dabei helfen:

Name des DienstleistersZweck der VerarbeitungRechtsgrundlage (alt)Ort der DatenverarbeitungAlternativeMaßnahme
Microsoft OnedriveSpeicherung der Kundendaten, SchriftverkehrPrivacy ShieldUSAHoster in EuropaR
Google AnalyticsWebtrackingEinwilligungUSAEinwilligung (mit Rechtsunsicherheit)E

Nach Erstellung der Liste sind alle Einträge in den Zeilen dahingehend zu überprüfen, ob eine Rückholung der Daten und Verarbeitung / Speicherung bei einem Anbieter in Deutschland oder Europa zeitnah und mit vertretbarem Aufwand umgesetzt werden kann. Alternativ ist zu überlegen, ob eine wirksame Einwilligung des Inhabers der Daten eingeholt werden kann. Eine mögliche Klassifizierung könnte wie folgt aussehen:

  • E: Einwilligung muss eingeholt werden (Unsicherheit, ob Einwilligung wirksam ist)
  • R: Rückholung der Daten zu europäischem Anbieter oder „on-premise“
  • SDK: Standardvertragsklauseln mit Anbieter vereinbaren (Diese sind allenfalls mit zusätzlichen Maßnahmen wirksam)
  • O: Vorerst keine Maßnahme umzusetzen, Risiko muss eingegangen werden

Umsetzung Schritt 1

Nach der Analyse sind die Maßnahmen anzugehen, die am schnellsten umgesetzt werden können. Dies kann beispielsweise sein bei reiner Datenspeicherung oder Backup in den USA und Neubeauftragung eines Anbieters in Europa. Die Daten müssen zum neuen Anbieter kopiert und beim Hoster in den USA unwiderruflich gelöscht werden.

Umsetzung Schritt 2

Als 2. Schritt könnten die Maßnahmen umgesetzt werden, die längere Überprüfungen beanspruchen, beispielsweise die Prüfung, ob die vom Anbieter in den USA zur Verfügung gestellten Standardvertragsklauseln wirksam sind.

Wiedervorlage

Die dann noch offenen Dienstleister müssen im Rahmen einer Wiedervorlage beispielsweise Anfang 2021 erneut geprüft werden.

Verweise zu anderen Quellen und Dokumenten

  • Der Europäische Datenschutzausschuss (EDPB) veröffentlichte bereits ein FAQ-Dokument zum Thema (pdf).
  • Der Kläger in dem Verfahren vor dem Europäischen Gerichtshof (Maximillian Schrems) beteiligt sich an der Organisation „NOYB – Europäisches Zentrum für digitale Rechte“ und diese veröffentlichte ebenfalls FAQ für EU-Unternehmen. Dort findet sich auch eine Liste von US-Unternehmen, die den Überwachungsgesetzen der USA ausgeliefert sind. Unter anderem schreibt er dazu:

Die meisten US-Cloud-Anbieter fallen unter FISA 702. Solche Anbieter werden Sie nicht mehr nutzen können.

noyb

Quellenangabe: Bild von ThePixelman auf Pixabay

Scroll to Top