„EU-US Privacy Shield“ gekippt

Kassenbonpflicht und der digitale Kassenbon
Kassenbonpflicht
2020-03-03
EU-Datenschutz

Privacy Shield wurde gekippt, was bedeutet das für Unternehmen?

EuGH erklärt "EU-US Privacy Shield"-Absprache für unwirksam.

Am 16.07.2020 wurde vom Europäischen Gerichtshof (EuGH) die "EU-US Privacy Shield"-Absprache als unwirksam erklärt. Aber was ist das eigentlich genau, wie betrifft es mich und was kann bzw. muss ich jetzt tun? Diese Fragen beantworten wir im nachfolgenden Artikel.

1. Was ist das "EU-US Privacy Shield" eigentlich genau?

Damit personenbezogene Daten von Unternehmen außerhalb der EU (in so genannten Drittländern) verabeitet werden dürfen, muss das verantwortliche Unternehmen belegen können, dass es mit übermittelten Daten nach europäischen Datenschutz-Standard umgeht. Solche Nachweise erbringen u.a. Japan oder die Schweiz; und bis vor kurzem auch die USA mit dem "EU-US Privacy Shield".

2. Was bedeutet das Urteil und wie kam es dazu?

Für Firmen aus den USA gilt in erster Linie die us-amerikanische Rechtssprechung und somit der so genannte "CLOUD Act". Durch dieses Gesetz werden US-Firmen dazu verpflichtet, US-Behörden den Zugriff auf gespeicherte Daten zu gestatten. Darunter fallen bspw. auch Daten von Bürgern und Unternehmen aus der EU, wenn deren Daten von Unternehmen aus den USA verarbeitet werden. Hierbei spielt es keine Rolle, ob die Verarbeitung innerhalb oder außerhalb der USA erfolgt.

Gemäß den Artikel 44 bis 49 der DSGVO ist durch den "CLOUD Act" keine ausreichend geschützte Verarbeitung von übermittelten Daten möglich. Aus diesem Grund wurde die informelle Absprache "EU-US Privacy Shield" ausgearbeitet mit der trotzdem eine Verarbeitung erfolgen konnte. Diese Grundlage wurde nun vom höchsten europäischen Gericht gekippt, so dass Verarbeitungen hierdurch nicht mehr rechtsmäßig sind.

3. Welche Auswirkungen hat dies auf Cloud-Dienste wie z.B. Cloud-Speicher oder Videokonferenzsysteme? Und was kann ich machen um gesetzeskonform zu handeln?

Die Speicherung von sensiblen Daten eines Unternehmens muss nach geltendem EU-Recht - und somit nach den Regeln der DSGVO - erfolgen; hierbei ist es egal ob es sich um die Speicherung und Verarbeitung von Dateien (Cloud-Speicher) oder um die Speicherung und Verarbeitung von z.B. Text-, Sprach- oder Video-Daten (Chats, Videokonferenzsysteme) handelt.

Um gesetzeskonform zu handeln muss entweder die Verarbeitung im eigenen Unternehmen erfolgen, oder wenn dies nicht möglich ist, durch einen (Cloud-)Dienstleister, der die Anforderungen der DSGVO erfüllt. Dies kann durch den Firmensitz in Deutschland bzw. der EU oder auch durch eine, in Punkt 1 erwähnte, Angemessenheitsentscheidung des jeweiligen Landes sichergestellt sein.