Privacy Shield mit Löchern

von VPNHaus | 20.08.2020

Es ist amtlich: Das Privacy Shield ist ein einziges klaffendes Loch und seit Mitte Juli nicht mehr anwendbar. Mittlerweile ist die Meldung selbst schon wieder im dunklen Mediengrab verschwunden, aber mit den Auswirkungen werden die Unternehmen und Organisationen noch lange kämpfen. Kurz zusammengefasst: Wer frohgemut Dienste eines amerikanischen Anbieters nutzte, der persönliche Daten der Nutzer erfasste, verließ sich auf das „Privacy Shield“ genannte Abkommen. Dieser Nachfolger des „Safe Harbour“ (in 2015 gekippt) sicherte europäischen Individuen in den USA mit Europa vergleichbaren Datenschutz zu. Und nun eben nicht mehr, denn der EuGH befand, dass von gleichem Datenschutzniveau in den USA keine Rede sein kann. Das Ganze geht auf eine Initiative von Max Schrems zurück, der ursprünglich etwas dagegen hatte, dass Facebook keinen adäquaten Schutz für Max‘ Daten leisten wollte. Und jetzt hat Herr Schrems das komplette transatlantische Datenschutzfeigenblättchen umgeschmissen. Respekt.

Nun müssen sich alle, die etwas mit IT und Datenschutz zu tun haben, kurz in die Augen schauen und dann verschämt abwenden. Natürlich ist jedem klar, dass die USA zum Datenschutz in einer ähnlichen Art und Weise steht, wie ein Hai zur offenen Sardinenbüchse. Das fängt beim völlig ungenierten Ausschlachten der mehr oder weniger freiwillig gegebenen Daten bei Facebook und Co an, geht weiter bei den diversen in die USA geschickten „Telemetriedaten“ der Cloud-Produkte von Microsoft, Amazon, etc. und endet – vermutlich – bei auf Wunsch allumfassendem Zugriff durch das Geheimgericht FISA, im Interesse der nationalen Sicherheit natürlich. Wer US-Dienstleistungen bezieht und sich der Illusion hingibt, dass er diese nach europäischen Datenschutzstandards erhält, ist so naiv, dass man eigentlich ein anderes Wort dafür verwenden muss.

Soweit so bekannt. Und, der Vollständigkeit halber: Weder die Chinesen noch die Russen noch sonst irgendeine Nation mit halbwegs entwickeltem IT-Angebot machen es anders. Aber historisch hängt Deutschland stark an den USA als Technologiepartner und eine Entscheidung contra Privacy Shield wirkt sich massiv auf deutsche Organisationen aus. Denn nun sind Datentransfers in die USA ab sofort datenschutzwidrig, wenn sie (ausschließlich) auf Grundlage einer Privacy-Shield-Zertifizierung erfolgen. Erfasst sind nicht nur Übermittlungen an Auftragsverarbeiter, sondern auch solche innerhalb eines Konzerns oder an Geschäftspartner. Die deutsche Personalabteilung eines Großkonzerns bricht also Datenschutzgesetze, wenn sie eine deutsche Personalakte an die amerikanische HR-Abteilung übermittelt. Zum Beispiel, weil sich die Betreffende dort auf eine interne Position beworben hat. Das trifft zumindest zu, wenn die Übermittlung nur auf Basis Privacy Shield erfolgt. Das ist aber oft nicht der Fall. Was das EuGH nämlich ausdrücklich nicht gekippt hat, sind die Standardvertragsklauseln. Diese werden ebenfalls oft zwischen den Partnern vereinbart und was dort definiert ist, ist nicht per se ungültig.

Zum Aufatmen ist es allerdings zu früh. Denn das EuGH sagt ebenfalls, dass sich die Vertragspartner davon überzeugen müssen, dass das, was in den Standardvertragsklauseln definiert wurde, auch tatsächlich umgesetzt wird. Wir stellen uns jetzt alle vor, wie ein kleines oder mittelständisches Unternehmen bei seinem, um Dimensionen größeren amerikanischen Geschäftspartner, vor der Tür steht und den DSGVO-konformen Umgang mit seinen Daten überprüfen will. So eine Forderung ist weltfremd. Aber was kann man sonst tun? Handlungsempfehlungen wie Einverständnis der Betroffenen einholen und alternative Anbieter in der EU nutzen, sind nur in einem winzigen Bruchteil der Anwendungsfälle möglich. Darum gilt zunächst: Hoffen. Hoffen, dass die Datenschutzbehörden die nun mannigfaltig auftretenden Verstöße erst einmal nicht ahnden werden. Und dann sollte man das tun, was man immer in so einer Situation tut. Seinen Teil der Verpflichtungen und seinen Teil der Assets kennen. Also: Welche Daten fließen überhaupt in die USA? Welche Tools mit US-amerikanischen Servern werden genutzt? Welche vertraglichen Abkommen bestehen, die den Datenaustausch regeln? Ist das geklärt, kann man im Moment zwar immer noch nicht viel tun, ist aber vorbereitet, wenn die nächste Runde zwischen EuGH und den USA eingeläutet wird. Zurzeit sollen Gespräche über eine Neuregelung stattfinden, es wird nicht lange dauern, bis die nächste Version des Privacy Shield, wie auch immer sie heißen wird, in Kraft tritt.