EuGH Privacy Shield Urteil und die Folgen

EuGH Privacy Shield Urteil und die Folgen für deutsche Unternehmen

Mitte Juli erklärte der Europäische Gerichtshof (EuGH) das bisher für den Datenverkehr zwischen Europa und den USA geltende Abkommen, den so genannten EU-US Privacy Shield, für ungültig. Er gab damit der Klage des österreichischen Datenschutzaktivisten Max Schrems Recht, der bereits seit mehreren Jahren gegen die Firma Facebook zu Felde zieht.

Begründung des EuGH: In den USA können die Unternehmen dazu verpflichtet werden, die – auch in Europa – generierten User-Daten US-Behörden wie der NSA oder dem FBI zur Verfügung zu stellen. Das sei aber mit dem geltenden EU-Datenschutz, insbesondere der EU-Datenschutzgrundverordnung (EU-DSGVO), nicht vereinbar. Der Rechtsschutz der europäischen Anwender könne nicht gewährleistet werden. 

Auswirkungen für Unternehmen in Deutschland

Auswirkungen hat diese Entscheidung nicht nur für Social Network-Anbieter wie Facebook, sondern natürlich auch für Cloud Computing Anbieter mit Sitz in den USA – und davon gibt es ja eine ganze Menge. Max Schrems geht selbst davon aus, dass 5000 Unternehmen mit Sitz in den USA direkt vom EuGH-Urteil betroffen sind.

Im Gegenzug bedeutet dies für die Nutzer dieser Cloud-Dienste, sicher zu stellen, dass mit der Nutzung dieser Services keine personenbezogenen Daten z.B. Kundendaten bei der Nutzung eines amerikanischen Cloud-CRM-Anbieters oder eines Cloud E-Mail-Newsletter-Dienstes in die USA übertragen werden. Ähnliches gilt für Cloud Speicher oder Online-Backup-Services.

EU-Datenschützer: Keine Gnadenfrist

Erschwerend kommt hinzu, dass den betroffenen Unternehmen von Behördenseite – anders als erwartet bzw. erhofft – keine „Gnadenfrist“ für die Umsetzung des EuGH-Urteils gewährt wurde.

Wie heise.de bereits Ende Juli berichtete, hat der “Europäische Datenschutzausschuss (EDSA) [..]Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Urteil des Europäischen Gerichtshofs (EuGH) zum Datentransfer in Länder außerhalb der EU (“Schrems II”) gefunden“. Laut den Aufsichtsbehörden in der EU gebe es keine “Gnadenfrist” für Datenverarbeitungen auf Grundlage des vom EuGH für ungültig erklärten “Privacy Shield”.

Unternehmen, so EDSA laut heise.de weiter, die noch unter dem transatlantischen Datenschutzschild personenbezogene Informationen aus der EU in die USA übermitteln, müssten ihre Praktiken “ohne Verzögerung” umstellen, erläutert der Bundesdatenschutzbeauftragte Ulrich Kelber. Andernfalls drohen auf Basis der Datenschutz-Grundverordnung (DSGVO) saftige Sanktionen.

Die im heise.de Beitrag angekündigten EDSA FAQs zu den Standardvertragsklauseln stehen mittlerweile auf der EDSA Webseite zum Download zur Verfügung.

Ausweg für deutsche Unternehmen: Einsatz lokaler Cloud Computing-Lösungen

Deutsche Unternehmen müssen sich nun also schleunigst mit diesem Thema auseinandersetzen. Zum einen geht es darum, alle aktuellen Geschäftsbeziehungen zu überprüfen, die vom EuGH-Urteil betroffen sein könnten und entsprechende Maßnahmen zu ergreifen.

Darüber hinaus besteht die Möglichkeit, mit Cloud Service Providern zusammenzuarbeiten, die vom EuGH-Urteil überhaupt nicht betroffen sind. Dies gilt beispielsweise für Cloud Computing-Anbieter mit Sitz in Deutschland.

ITSM bietet mit Local Cloud Hosting eine eigene, in deutschen Rechenzentren betriebene Variante des Cloud Computing. Unternehmen erhalten damit die Möglichkeit, die Vorteile des Cloud Computing wie Flexibilität, Kostentransparenz und Skalierbarkeit zu nutzen, ohne die Risiken – z.B. durch internationale Vorgaben oder Gesetze – fürchten zu müssen.

Weitere Informationen zu ITSM Local Cloud Hosting finden Sie hier.