Vor etwas mehr als einem halben Jahr wurde das Abkommen zur Übermittlung personenbezogener Daten zwischen der EU und den USA, bekannt unter dem Namen “Privacy Shield” vom EuGH gekippt. Doch müssen jetzt alle in Panik ausbrechen? Wer muss überhaupt tätig werden? Wir klären auf, was das Ende von “Privacy Shield” für Unternehmen bedeutet.
Im Juli 2020 war es dann soweit. Nach langem Ringen erklärte der Europäische Gerichtshof das Abkommen, das die EU mit den Vereinigten Staaten von Amerika zur Übermittlung DSGVO-geschützter Daten auf amerikanische Server regelte, für ungültig. Während Datenschützer die Entscheidung des Gerichtshofes als großen Sieg feiern, entsteht bei vielen Unternehmen nun zunächst Unsicherheit. Schließlich setzen viele Firmen in Europa schon seit langem auf (oftmals US-amerikanische) Cloud-Services mit Rechenzentren in den USA, setzen auf CRM-Systeme aus den Staaten oder haben stützen sich für die pandemiebedingte Organisation im Home Office auf Zoom & Co.
Kein Grund zur Panik
Wie so oft nach Gerichtsentscheidungen dieser Größenordnung bricht flächendeckend Unruhe aus. Aber erst einmal heißt es: Ruhig Blut bewahren. Denn zunächst müssen die zuständigen Aufsichtsbehörden auf nationaler Ebene konkrete Empfehlungen aus dem Urteil ableiten. In der Zwischenzeit können Unternehmen sich die Frage stellen, in welchem Ausmaß das Aus von “Privacy Shield” sie überhaupt tangiert. Wer bereits in europäischen Datenzentren oder gar auf eigenen Servern hostet, mit Open-Source-Software arbeitet, Daten vorbildlich Ende-zu-Ende-verschlüsselt und auch sonst von der Datenverarbeitung in den USA absieht, dem kann die Entscheidung des EuGH, auf gut Deutsch gesagt, Wurst sein. Für Firmen, die ihre gesamte IT-Infrastruktur in die US-amerikanische Cloud ausgelagert haben, sieht die Situation schon wieder ganz anders aus. Bevor Unternehmen also in heillose Panik ausbrechen, heißt es erst einmal: Lage analysieren und notwendige Schritte erkennen. Im wesentlichen ergeben sich drei Handlungsoptionen:
1. Standardvertragsklauseln
Der EuGH hat Standardvertragsklauseln, in denen Unternehmen Datentransfers zu US-Partnern regeln, zunächst in ihrer Wirksamkeit bestätigt. Theoretisch ist es also weiterhin möglich, Daten an US-Unternehmen zu übertragen. In der Praxis sieht das jedoch anders aus: die Klauseln müssen nämlich mit jedem einzelnen Vertragspartner individuell abgeschlossen werden. Je nach Unternehmensgröße artet das schnell in ein juristisches und logistisches Chaos aus – gerade angesichts der hohen Bußgelder, die bei Verstößen drohen, nimmt man das lieber nicht auf die leichte Schulter.
Wir sind ehrlich: So verlockend die Lösung mit den Standardvertragsklauseln auch klingen mag – wer ernsthaft seine Datenhaltung DSGVO-konform gestalten will, verlässt sich lieber nicht darauf.
2. Datenspeicherung in der EU
Mehr Rechtssicherheit hingegen bietet die Datenverarbeitung innerhalb der EU. Europäische Rechenzentren sind zur Einhaltung sämtlicher DSGVO-Richtlinien verpflichtet und können Unternehmen so die nötigen Datenschutzstandards garantieren. Teilweise bieten auch US-amerikanische Dienstleister die Option an, die Datenverarbeitung wahlweise auf EU-Servern durchzuführen. Wichtig ist, darauf zu achten, dass zu keinem Zeitpunkt Daten in die USA transferiert werden.
3. Verschlüsselung der Daten
Entgegen landläufiger Meinungen reicht die Verschlüsselung von Daten allein leider nicht aus, um die hohen technischen Anforderungen der DSGVO zu erfüllen. Da nicht zu jedem Zeitpunkt eine Identifizierbarkeit verschlüsselter Daten zu 100% auszuschließen ist, muss davon ausgegangen werden, dass auch diese ihren Personenbezug im Zweifelsfall erhalten. Es ist also nicht ratsam, seine Datenschutzbemühungen einzig und allein auf die Datenverschlüsselung zu fußen. Aber: eine effektive Verschlüsselung erhöht die Datensicherheit enorm und kann somit Standardvertragsklauseln sowie die Datenverarbeitung in der EU perfekt ergänzen, sodass Unternehmen auf der sicheren Seite sind.
Wir sehen also: die eine Maßnahme, das Allheilmittel zur DSGVO-konformen Datenhaltung gibt es nicht. Die oben genannten Schritte führen zwar zu einer Annäherung an die rechtlich geforderten Standards. Eine individuelle Strategie ersetzen sie jedoch nicht.
Wer auf einen Anlass wartet: Hier ist er
Natürlich sorgt das Ende von “Privacy Shield” zunächst einmal für Verunsicherung, Irritation und Sorge auf Seiten der Unternehmen. Letztlich aber sollten Firmen das Aus des Abkommens als Chance begreifen, endlich einmal lang geführte Datenhaltungspraxis zu hinterfragen und nicht nur die Daten von Kunden und Geschäftspartnern, sondern auch die eigenen mit maximaler Sicherheit und Sorgfalt zu behandeln – etwas, das viele Unternehmen leider in der Vergangenheit viel zu wenig getan haben. Klar, auf die Cloud-Lösungen großer Anbieter aus den USA zurückzugreifen, ist sicherlich bequem. Die Bedenken, die Datenschützer diesbezüglich äußern, sind jedoch alles andere als neu. Den Impuls des EuGH mag so mancher positiv, ein anderer negativ beurteilen – so oder so ist er jedoch präsent. Zeit also, sich die Hoheit über die eigene Datenhaltung zurückzuholen.
Fragen Sie Experten
Eine weitere gute Nachricht: Sie müssen all das nicht alleine bewerkstelligen. Holen Sie sich Hilfe von Experten – von uns! Wir von epiKshare beraten Sie gerne rund um das Thema DSGVO & Datenhaltung. Ganz gleich, ob Sie sich für Hosting in unserem deutschen Rechenzentrum interessieren oder einfach gleich selbst hosten möchten – unsere Experten sind für Sie da. Auch bei Fragen zum geschützten Teilen von Dateien und der besonders sicheren Ende-zu-Ende-Verschlüsselung unterstützen wir Sie jederzeit gern. Schreiben Sie uns einfach eine Nachricht.
