+++ INFORMATION +++

Aktuell wird empfohlen, die betroffenen Datenflüsse zu identifizieren und auf Alternativen umzustellen, die dem erforderlichen Schutzniveau der DSGVO entsprechen. Wir möchten an dieser Stelle daher darauf hinweisen, dass die Cloud Email Security Services von Hornetsecurity nicht von der Unwirksamkeit des Privacy Shields als Grundlage für eine Datenübermittlung in Drittstaaten betroffen sind und weiterhin wie gewohnt genutzt werden können.

+++

Am 16.07.20 hat der Europäische Gerichtshof (EuGH) das Datenschutzrahmenwerk zwischen der USA und Europa gekippt. Zwar bedeutet dies nicht gleich das Ende vom Datentransfer zwischen beiden Kontinenten, dennoch zieht es weite Folgen nach sich. Wir werfen einen kurzen Blick darauf.

Privacy Shield – Was beinhaltet es?

Das Datenabkommen trat als Nachfolger des Safe-Harbour-Abkommens Anfang 2016 in Kraft. Ziel des Privacy Shield soll es laut den Machern gewesen sein, neben einem höheren Schutzniveau der Bürger vor allem Unternehmen, die Datenaustausch mit den USA betreiben, Rechtssicherheit zu geben. So wären US-Unternehmen damit in der Pflicht gewesen, Daten von EU-Bürgern nur so lange zu speichern, wie sie für den ursprünglichen Zweck verwendet werden. Datenschutzexperten kritisierten bereits zu Beginn dieses Abkommen, denn sie befürchteten keine wirklichen Neuerungen zum vorherigen Safe-Harbour-Abkommen.

So bot das Privacy Shield zwar Ansätze für besseren Datenschutz, doch war dieses bei weitem nicht auf dem europäischen Niveau. Vor allem US-Geheimdienste konnten so ungehemmt auf Daten von EU-Bürgern zugreifen. Diese Tatsache bewegte den EuGH zu seiner Entscheidung, das Privacy Shield für ungültig zu erklären.

Aus für das Privacy Shield – und was nun?

Dürfen Daten jetzt noch zwischen den USA und Europa fließen? Klar ist, dass das Aus des Privacy Shields für Unklarheit sorgt. Zunächst gilt es, sich bewusst zu machen, dass hier zwischen Privatpersonen und Unternehmen unterschieden werden muss. Privatpersonen können weiterhin private E-Mails ins US-Ausland senden oder eine Buchung auf einer US-Website vornehmen. Anders sieht es dagegen bei Unternehmen aus:

Von der Entscheidung des EuGH sind rund 5.000 Unternehmen direkt betroffen, da sie sich bei der Datenübertragung in die USA auf das Privacy Shield berufen. Darunter Unternehmen wie etwa Facebook, Microsoft oder Amazon. Um zunächst weiterhin für einen legalen Datenaustausch in die USA zu sorgen, können sich Unternehmen alternativ auf die bisher praxistauglichen Standardvertragsklauseln berufen. Doch auch hier steht nun die Frage im Raum: Können diese noch weiterhin gültig sein, wenn auch sie keinen Zugriff durch Geheimdienste ausschließen können?

Vor allem bei deutschen Datenschutzexperten werden erste Töne zur digitalen Eigenständigkeit Europas laut. Die Berliner Datenschützerin Maja Smoltczyk fordert etwa Verantwortliche, die personenbezogene Daten in die USA übermitteln, dazu auf, zu Dienstleistern in der EU zu wechseln, um ein angemessenes Datenschutzniveau sicherstellen zu können.

Es ist also davon auszugehen, dass es kein „Weiter so“ in der Datenschutzdebatte geben wird, um die Rechtsunsicherheit zu überwinden.

Was bedeutet das für Hornetsecurity-Kunden?

Grundsätzlich erbringt Hornetsecurity seine Kerndienstleistung in Deutschland und dortigen gesicherten Rechenzentren. Hierfür erfolgt anbieterseitig kein Datenaustausch in die USA und Hornetsecurity ist daher von der Entscheidung nicht direkt betroffen.

Alle von Hornetsecurity beauftragten Unterauftragnehmer in einem Drittland, die als Grundlage für eine Datenübertragung das Privacy Shield genannt haben, verfügen zusätzlich über alternative rechtliche Grundlagen, so dass bei Wegfall einer rechtlichen Grundlage eine der anderen Möglichkeiten einspringt. Die zwei anderen Varianten für die Übertragung von Daten aus dem Europäischen Wirtschaftsraum in Drittstaaten, speziell in den USA, sind Binding Corporate Rules / verbindliche interne Datenschutzvorschriften und EU standard contractual clauses/EU Standardvertragsklauseln. Unsere Kunden finden die exakten Informationen zu unseren Unterauftragnehmern in der Auftragsverarbeitungsvereinbarung in Anlage 3.

Vielleicht ebenfalls für Sie von Interesse: