Was das Ende des "Privacy Shield-Abkommens“ für die Betriebe bedeutet
Der Europäische Gerichtshof (EuGH) hat den Datenpakt zwischen den USA und Europa gekippt. Unter dem Datenschutzabkommen "Privacy Shield" hatten sich über 4.000 US-amerikanische Unternehmen zertifizieren lassen. In der Folge war es ihren Geschäftspartnern in der EU erlaubt, personenbezogene Daten (Arbeitnehmerdaten oder Kundendaten) – an die Unternehmen zu übermitteln.
Diese Praxis ist nach dem EuGH-Urteil jetzt passe. Markus Czogalla, Justiziar der Industrie- und Handelskammer (IHK) Südlicher Oberrhein, sieht große Auswirkungen für die Unternehmen, wenn sie ihre Daten bei US-Rechenzentren oder Clouddiensten speichern.
Alternativen unbedingt prüfen
Diese Unternehmen sollten jetzt prüfen, "ob eine Speicherung auch in europäischen Rechenzentren möglich ist", empfiehlt die IHK. „Deutsche Unternehmen müssen befürchten, dass sie ein Bußgeld durch die Datenschutzaufsicht erhalten, wenn sie Daten in den USA speichern lassen“, warnt der Experte.
Auch Alexander Rabe, der Chef des Digitalverbands eco, verweist auf "fatale Folgen für die Internetwirtschaft und alle internationalen Geschäftsmodelle auf beiden Seiten des Atlantiks, die auf den Austausch von personenbezogenen Daten angewiesen sind". Ohne "Privacy Shield" gebe es nun "praktisch kaum noch Alternativen, Daten unkompliziert und rechtssicher aus der EU in die USA zu übertragen".
Standardvertragsklauseln der EU zum Datenschutz nutzen
Einzige Alternative ist die Nutzung von Standardvertragsklauseln der EU für den Datenaustausch mit Drittstaaten. Denn die bleiben gültig. Nach Meinung des EuGH bestehen hier Bedenken wie beim "Privacy Shield" nicht. Denn zum einen könne der Datenexporteur – also zum Beispiel ein EU-Unternehmen – die Datenübermittlung aussetzen. Zum anderen seien die zuständigen Aufsichtsbehörden (in Deutschland die Datenschutzbeauftragten der Länder) befugt, die Übermittlung von personenbezogenen Daten beispielsweise in die USA zu untersagen, wenn sie Zweifel an der Rechtmäßigkeit haben. Denn Betroffene, Kunden oder Mitarbeiter, haben die Möglichkeit, sich an die zuständige Datenschutzbehörde zu wenden, die den Datentransfers untersagen können.
Fazit: Das Aus des Privacy Shield lässt Unternehmen in einer Grauzone zurück. Da eine schnelle neue Übereinkunft mit den USA nicht zu erreichen ist, haben die Unternehmen entweder die Möglichkeit, zur Datenspeicherung europäische Server zu nutzen oder die Standardvertragsklauseln der EU zum Datenaustausch mit Drittstaaten zu nutzen.
Urteil: EuGH vom 16.7.2020, Az.: C‑311/18