Der zerbrochene Schild Was Unternehmen nach dem Privacy-Shield-Urteil beachten müssen

Autor: Elke Witmer-Goßner

Inzwischen ist ein halbes Jahr vergangen, seit der Europäische Gerichtshof dem österreichischen Journalisten Max Schrems Recht gab und das Privacy-Shield-Datenschutzabkommen zwischen der EU und den USA kippte.

Firmen zum Thema

2020 ist eine datenschutzrechtliche Veränderung eingetreten, die von den Unternehmen Maßnahmen im Geschäftsbetrieb verlangt.
2020 ist eine datenschutzrechtliche Veränderung eingetreten, die von den Unternehmen Maßnahmen im Geschäftsbetrieb verlangt.
(Bild: gemeinfrei© Gerd Altmann / Pixabay )

Dennoch konnten seitdem sehr viele Unternehmen weder die Hintergründe noch die datenschutzrechtlichen Konsequenzen für Speicherung und Verarbeitung personenbezogener Daten verstehen oder sogar umsetzen. Die Open Source Business Alliance (OSB Alliance), Bundesverband für digitale Souveränität, will diese Unternehmen unterstützen und hat ein Whitepaper herausgegeben, das in kompakter Form Licht ins Dunkel bringen will und konkrete Hinweise zum Umgang mit den neuen (Nicht-)Regeln gibt.

Lücke im transatlantischen Datenschutz

Täglich werden riesige Mengen personenbezogener Daten aus der EU an die USA vermittelt. Und Unternehmen speichern immer häufiger Daten in der Cloud und setzen Software US-amerikanischer Anbieter ein – entgegen europäischer Datenschutzregeln. Denn im Sommer dieses Jahres wurde das Privacy-Shield-Datenschutzabkommen zwischen der EU und den USA vom Europäischen Gerichtshof gekippt.

Die juristischen Folgen dieses Urteils sind für viele Unternehmen nur schwer zu überschauen. Das Privacy-Shield-Datenschutzabkommen enthielt Datenschutzgrundsätze, zu denen sich US-amerikanische Unternehmen verpflichten konnten, indem sie sich in eine Liste des US-Handelsministeriums eintragen ließen. Bis zum Urteil des Europäischen Gerichtshofs war mit dem EU-US Privacy Shield ein Datentransfer in die USA nach denselben Regeln wie innerhalb der EU möglich.

Diese Rechtsgrundlage wurde mit dem Urteil vom 16. Juli 2020 für unwirksam erklärt. Gemessen an der EU-Grundrechtecharta wurden die staatlichen Überwachungsmaßnahmen der USA als unverhältnismäßig eingestuft. Damit faqllen die USA zurück in den Status eines Drittlandes wie beispielsweise Indien, China oder Russland.

Unternehmen müssen aufpassen

Doch mit dem Fall des Schutzschildes hört die Datenspeicherung – auch in den USA – nicht auf. Und sie ist nicht das einzige Problem, denn auch alle weiteren Verarbeitungen und Übermittlungen personenbezogener Daten sind betroffen. Unternehmen, die aufgrund des EuGH-Urteils eine Bestandsaufnahme ihrer Datenübermittlungen in Drittländer durchführen, müssen also nicht nur ihre Datenbestände analysieren, sondern auch alle dort stattfindenden Verarbeitungen.

So gibt es etwa zahlreiche Cloud-Anwendungen, die Daten zwar in der EU speichern, spezifische Verarbeitungen hingegen nach wie vor in den USA durchführen. Weil der Europäische Gerichtshof keine Übergangs- oder Schonfrist eingeräumt hat, müssen Unternehmen so zeitnah wie möglich mit ersten Maßnahmen beginnen und diese Aktivitäten nachweisen.

In dem neu erschienenen Whitepaper der OSB Alliance beschreibt die zertifizierte Datenschutzexpertin Henriette Baumann, die mit ihrem Beratungsunternehmen als Datenschutzbeauftragte für international agierende Unternehmen tätig ist, worauf Unternehmen jetzt achten müssen und welche Maßnahmen sie ergreifen sollten, ja sogar müssen. Ergänzt werden Baumanns Empfehlungen durch eine Checkliste mit den wichtigsten Verhaltensregeln.

Artikelfiles und Artikellinks

(ID:47067352)

Über den Autor

 Elke Witmer-Goßner

Elke Witmer-Goßner

Redakteurin, CloudComputing-Insider.de