EuGH-Urteil zum Privacy Shield
Privacy-Shield-Abkommen gestoppt – das müssen Unternehmer jetzt tun

Wegen Datenschutzbedenken hat der Europäische Gerichtshof das Privacy-Shield-Abkommen mit US-Firmen gestoppt. Unternehmer müssen nun prüfen, welche digitalen Dienste sie künftig noch nutzen können.

, von

Kommentieren
Was bedeutet das EuGH-Urteil zum Privacy Shield für deutsche Unternehmer?
© Warchi / iStock / Getty Images Plus / Getty Images

Das Urteil kam überraschend und es betrifft fast alle Unternehmen in Europa: Der Europäische Gerichtshof (EuGH) hat ein Datenschutzabkommen für ungültig erklärt, das die EU mit US-Firmen geschlossen hatte (AZ: C-362/14). Das Ende des „Privacy Shield“-Abkommens hat auch Folgen für den betrieblichen Datenschutz: Unternehmer können nun nicht mehr einfach amerikanische Firmen mit der Bearbeitung von Daten beauftragen oder diese auf US-Servern speichern.

Der Rechtsanwalt Sebastian Herting von der Hamburger Datenschutzkanzlei erklärt im Interview, was das Urteil des obersten EU-Gerichts vom 16. Juli konkret bedeutet und was Unternehmer jetzt tun müssen, um nicht gegen Datenschutzbestimmungen zu verstoßen.

impulse: Herr Herting, warum sollten sich Unternehmer für dieses Urteil interessieren?

Sebastian Herting: Das Urteil des EuGHs betrifft fast alle Unternehmen, da fast alle Unternehmen die Dienste von US-Firmen wie Zoom, Skype, Google oder Facebook nutzen – sei es als digitales Adressbuch, Online-Datenspeicher oder für Videokonferenzen. Wer diese Dienste nutzt, speichert dort in der Regel immer auch personenbezogene Daten. Das können Daten von Kunden sein oder einfach die Namen und Fotos von Mitarbeitern, die zum Beispiel ein Chat-Programm wie Slack benutzen. Wer solche Daten in ein Drittland außerhalb der EU bzw. des EWR übermittelt, muss sicherstellen, dass der Datenschutz dort ein vergleichbares Niveau hat wie hierzulande.

Aber das galt in Sachen Datenschutz doch auch bislang schon?

Ob ein Drittland ein angemessenes Datenschutzniveau hat, ist durch einzelne Unternehmer natürlich schwer zu prüfen. Dafür erlässt die EU-Kommission sogenannte Angemessenheitsbeschlüsse. Solche Beschlüsse gibt es derzeit für rund ein Dutzend Länder – etwa die Schweiz, Israel und Kanada. Bei den USA gab es dagegen immer Bedenken, wegen der weitreichenden Befugnisse von US-Sicherheitsbehörden, die nicht mit der europäischen Datenschutzgrundverordnung (DSGVO) in Einklang zu bringen waren. Die EU hatte deshalb mit den USA das „Privacy Shield“-Abkommen geschlossen, dem einzelne US-Firmen durch eine Selbstzertifizierung beitreten konnten. Durch das Urteil wurde dieses Abkommen nun kassiert.

Was ändert sich durch das EuGH-Urteil für Unternehmen?

Zur Person
Sebastian Herting ist Partner der Datenschutzkanzlei aus Hamburg. Er berät als Rechtsanwalt und externer Datenschutzbeauftragter bundesweit Unternehmen bei der Umsetzung der DSGVO sowie zu Rechtsfragen im Online-Marketing.

Bislang konnten sich Unternehmer darauf verlassen, dass sie auf der sicheren Seite waren, wenn ein digitaler Dienstleister die „Privacy Shield“-Zertifizierung hatte. Das ist nun hinfällig: Nach Ansicht der Richter reicht die Selbstverpflichtung nicht aus, wenn US-Behörden faktisch weiter ohne Rechtsschutz auf die Daten zugreifen können. Unternehmer müssen sich nun erneut Gedanken machen, wie sie den Schutz von Kunden- oder Mitarbeiterdaten gewährleisten können, die bei US-Firmen gespeichert sind.

Was sollten Firmenchefs tun, um den Datenschutz weiter sicherzustellen?

Es gibt ein paar Punkte, die sollte jeder Unternehmer jetzt in Angriff nehmen. Als erstes steht eine umfassende Inventur der Datendienstleister an: Welche digitalen Dienste werden im Betrieb eigentlich genutzt? Und: Welche Firmen stehen hinter diesen Diensten? Handelt es sich um europäische Anbieter oder um solche aus einem Drittland mit angemessenem Datenschutzniveau, dann ist das unproblematisch. Bei Anbietern aus den USA oder anderen Drittländern muss man genauer hinschauen, ob diese die EU-Standarddatenschutzklauseln anbieten.

Was hat es mit diesen Datenschutzklauseln auf sich?

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer

Der EuGH hat zwar das „Privacy Shield“-Abkommen gekippt, aber er hat auch eine Hintertür offengelassen: Standarddatenschutzklauseln werden von der EU-Kommission vorgegeben und können auf Vertragsbasis ein angemessenes Datenschutzniveau beim Anbieter im Drittland herstellen. Diese Klauseln sind weiterhin wirksam. Das bedeutet: Digitale Dienstleister können vorerst weiter genutzt werden, wenn sie den Datenschutz über entsprechende Klauseln in ihren Verträgen zusichern (die Standardvertragsklauseln können Sie hier abrufen). Fehlen diese sollte die Zusammenarbeit beendet werden und der Unternehmer sollte sich besser einen europäischen Anbieter suchen.

Eine Klausel in den AGB reicht aus – die haben bestimmt alle US-Softwareanbieter, oder?

Viele große US-Firmen bieten solche Klauseln an oder dürften sie demnächst einführen. Allerdings schränkt das Gericht weiter ein: Unternehmer aus der EU dürfen diesen Klauseln nicht mehr blind vertrauen, sondern müssen prüfen, ob der Datenschutz vom Anbieter tatsächlich eingehalten werden kann. Sonst liegt ein Verstoß gegen die DSGVO vor. Unternehmer sollten also jetzt aktiv werden und sich bei ihren Dienstleistern nach den Datenschutzstandards erkundigen.

Mittelständische Firmenchefs sollen sich bei Microsoft und Google nach dem Datenschutz erkundigen?

Im Endeffekt läuft es darauf hinaus. Unternehmer sind in jedem Fall gut beraten, wenn sie ihre Bemühungen in diese Richtung dokumentieren können. Wird der Datenschutz wirklich gewährleistet oder nur in den AGB behauptet? Fällt das Unternehmen in den Anwendungsbereich der US-Sicherheitsgesetze? Können Daten wirksam verschlüsselt werden? Einige Firmen verarbeiten die Daten von EU-Bürgern auch durch europäische Tochterunternehmen und speichern sie auf Servern in der EU, um nicht gegen datenschutzrechtliche Auflagen zu verstoßen. Das alles lässt sich in Erfahrung bringen.

Wo drohen noch DSGVO-Verstöße nach dem Urteil?

Unternehmer sollten auch ihre eigenen Datenschutzerklärungen prüfen: Enthalten diese Hinweise auf das „Privacy Shield“-Abkommen sind sie jetzt unrichtig und müssen angepasst werden. Entsprechende Hinweise sollte man aus der Datenschutzerklärung vollständig herausnehmen.

Wie geht es jetzt weiter? Wird es bald eine einheitliche Regelung geben?

Die Aufsichtsbehörden wissen durchaus um die Nöte der Unternehmen und werden den Firmen hoffentlich Zeit geben, um ihre Prozesse und Datenschutzstandards an das Urteil anzupassen. Klar ist aber auch, dass die Behörden nach einer Übergangszeit Datenschutzverstöße ahnden werden. Allerdings gibt es auch einen starken politischen Willen, das Problem aus der Welt zu schaffen. Möglicherweise wird es also auch ein neues Abkommen geben.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Das Urteil kam überraschend und es betrifft fast alle Unternehmen in Europa: Der Europäische Gerichtshof (EuGH) hat ein Datenschutzabkommen für ungültig erklärt, das die EU mit US-Firmen geschlossen hatte (AZ: C-362/14). Das Ende des „Privacy Shield“-Abkommens hat auch Folgen für den betrieblichen Datenschutz: Unternehmer können nun nicht mehr einfach amerikanische Firmen mit der Bearbeitung von Daten beauftragen oder diese auf US-Servern speichern. Der Rechtsanwalt Sebastian Herting von der Hamburger Datenschutzkanzlei erklärt im Interview, was das Urteil des obersten EU-Gerichts vom 16. Juli konkret bedeutet und was Unternehmer jetzt tun müssen, um nicht gegen Datenschutzbestimmungen zu verstoßen. impulse: Herr Herting, warum sollten sich Unternehmer für dieses Urteil interessieren? Sebastian Herting: Das Urteil des EuGHs betrifft fast alle Unternehmen, da fast alle Unternehmen die Dienste von US-Firmen wie Zoom, Skype, Google oder Facebook nutzen – sei es als digitales Adressbuch, Online-Datenspeicher oder für Videokonferenzen. Wer diese Dienste nutzt, speichert dort in der Regel immer auch personenbezogene Daten. Das können Daten von Kunden sein oder einfach die Namen und Fotos von Mitarbeitern, die zum Beispiel ein Chat-Programm wie Slack benutzen. Wer solche Daten in ein Drittland außerhalb der EU bzw. des EWR übermittelt, muss sicherstellen, dass der Datenschutz dort ein vergleichbares Niveau hat wie hierzulande. Aber das galt in Sachen Datenschutz doch auch bislang schon? Ob ein Drittland ein angemessenes Datenschutzniveau hat, ist durch einzelne Unternehmer natürlich schwer zu prüfen. Dafür erlässt die EU-Kommission sogenannte Angemessenheitsbeschlüsse. Solche Beschlüsse gibt es derzeit für rund ein Dutzend Länder – etwa die Schweiz, Israel und Kanada. Bei den USA gab es dagegen immer Bedenken, wegen der weitreichenden Befugnisse von US-Sicherheitsbehörden, die nicht mit der europäischen Datenschutzgrundverordnung (DSGVO) in Einklang zu bringen waren. Die EU hatte deshalb mit den USA das „Privacy Shield“-Abkommen geschlossen, dem einzelne US-Firmen durch eine Selbstzertifizierung beitreten konnten. Durch das Urteil wurde dieses Abkommen nun kassiert. Was ändert sich durch das EuGH-Urteil für Unternehmen? Bislang konnten sich Unternehmer darauf verlassen, dass sie auf der sicheren Seite waren, wenn ein digitaler Dienstleister die „Privacy Shield“-Zertifizierung hatte. Das ist nun hinfällig: Nach Ansicht der Richter reicht die Selbstverpflichtung nicht aus, wenn US-Behörden faktisch weiter ohne Rechtsschutz auf die Daten zugreifen können. Unternehmer müssen sich nun erneut Gedanken machen, wie sie den Schutz von Kunden- oder Mitarbeiterdaten gewährleisten können, die bei US-Firmen gespeichert sind. Was sollten Firmenchefs tun, um den Datenschutz weiter sicherzustellen? Es gibt ein paar Punkte, die sollte jeder Unternehmer jetzt in Angriff nehmen. Als erstes steht eine umfassende Inventur der Datendienstleister an: Welche digitalen Dienste werden im Betrieb eigentlich genutzt? Und: Welche Firmen stehen hinter diesen Diensten? Handelt es sich um europäische Anbieter oder um solche aus einem Drittland mit angemessenem Datenschutzniveau, dann ist das unproblematisch. Bei Anbietern aus den USA oder anderen Drittländern muss man genauer hinschauen, ob diese die EU-Standarddatenschutzklauseln anbieten. Was hat es mit diesen Datenschutzklauseln auf sich? Der EuGH hat zwar das „Privacy Shield“-Abkommen gekippt, aber er hat auch eine Hintertür offengelassen: Standarddatenschutzklauseln werden von der EU-Kommission vorgegeben und können auf Vertragsbasis ein angemessenes Datenschutzniveau beim Anbieter im Drittland herstellen. Diese Klauseln sind weiterhin wirksam. Das bedeutet: Digitale Dienstleister können vorerst weiter genutzt werden, wenn sie den Datenschutz über entsprechende Klauseln in ihren Verträgen zusichern (die Standardvertragsklauseln können Sie hier abrufen). Fehlen diese sollte die Zusammenarbeit beendet werden und der Unternehmer sollte sich besser einen europäischen Anbieter suchen. Eine Klausel in den AGB reicht aus – die haben bestimmt alle US-Softwareanbieter, oder? Viele große US-Firmen bieten solche Klauseln an oder dürften sie demnächst einführen. Allerdings schränkt das Gericht weiter ein: Unternehmer aus der EU dürfen diesen Klauseln nicht mehr blind vertrauen, sondern müssen prüfen, ob der Datenschutz vom Anbieter tatsächlich eingehalten werden kann. Sonst liegt ein Verstoß gegen die DSGVO vor. Unternehmer sollten also jetzt aktiv werden und sich bei ihren Dienstleistern nach den Datenschutzstandards erkundigen. Mittelständische Firmenchefs sollen sich bei Microsoft und Google nach dem Datenschutz erkundigen? Im Endeffekt läuft es darauf hinaus. Unternehmer sind in jedem Fall gut beraten, wenn sie ihre Bemühungen in diese Richtung dokumentieren können. Wird der Datenschutz wirklich gewährleistet oder nur in den AGB behauptet? Fällt das Unternehmen in den Anwendungsbereich der US-Sicherheitsgesetze? Können Daten wirksam verschlüsselt werden? Einige Firmen verarbeiten die Daten von EU-Bürgern auch durch europäische Tochterunternehmen und speichern sie auf Servern in der EU, um nicht gegen datenschutzrechtliche Auflagen zu verstoßen. Das alles lässt sich in Erfahrung bringen. Wo drohen noch DSGVO-Verstöße nach dem Urteil? Unternehmer sollten auch ihre eigenen Datenschutzerklärungen prüfen: Enthalten diese Hinweise auf das „Privacy Shield“-Abkommen sind sie jetzt unrichtig und müssen angepasst werden. Entsprechende Hinweise sollte man aus der Datenschutzerklärung vollständig herausnehmen. Wie geht es jetzt weiter? Wird es bald eine einheitliche Regelung geben? Die Aufsichtsbehörden wissen durchaus um die Nöte der Unternehmen und werden den Firmen hoffentlich Zeit geben, um ihre Prozesse und Datenschutzstandards an das Urteil anzupassen. Klar ist aber auch, dass die Behörden nach einer Übergangszeit Datenschutzverstöße ahnden werden. Allerdings gibt es auch einen starken politischen Willen, das Problem aus der Welt zu schaffen. Möglicherweise wird es also auch ein neues Abkommen geben.
Mehr lesen über