Der Europäische Gerichtshof hat den „Privacy Shield“, der den Datenaustausch zwischen Europa und den USA regelt, für ungültig erklärt. So reagieren Unternehmen richtig.
Im Rahmen des Privacy Shield Abkommens hat man sich darauf geeinigt, dass die Datenschutz-Standards der Vereinigten Staaten und der EU ebenbürtig seien und Transfer von personenbezogenen Daten unproblematisch.
US-Firmen mussten sich ein Zertifikat des U.S. Department of Commerce ausstellen lassen und sich verpflichten, bei der Datenverarbeitung europäische Standards einzuhalten – also jene der Datenschutzgrundverordnung (DSGVO). Rund 5.000 US-Unternehmen erhielten ein derartiges Zertifikat, darunter nahezu alle Internet-Giganten wie Microsoft, Facebook, Amazon oder Google.
Dass der EuGH das Abkommen gekippt hat, hat vor allem mit den US-amerikanischen Überwachungsgesetzen zu tun, die zwischen US-Bürgern und Bürgern aus Drittstaaten unterscheiden. Letztere dürfen in jedem Ausmaß überwacht werden und müssen auch nicht darüber informiert werden, wenn der Auslandsgeheimdienst NSA (National Security Agency) auf ihre personenbezogenen Daten zugreift. Der vierte Zusatzartikel zur amerikanischen Verfassung, der US-Bürger vor Überwachung schützt, gilt eben nur für US-Bürger.
Europäische Unternehmen müssen nun also erneut ihre Prozesse und Infrastruktur prüfen, um herauszufinden, wo personenbezogene Daten bei Unternehmen in den USA gespeichert werden. Ist dies der Fall, reicht es nicht mehr aus, sich auf das Privacy Shield zu berufen, sondern es muss geprüft werden, ob die Datenschutzbestimmungen der EU erfüllt werden. Weiters muss auch die Kommunikation zum Kunden und die von diesen bestätigten Rechtstexte überprüft und gegenenenfalls der Datenaustausch mit den USA unterbunden werden. Konkrete Maßnahmen zu erarbeiten fällt jedoch vor allem deshalb schwer, da noch keine regulatorischen Leitlinien existieren.
Die sicherste Lösung ist es, auf in Europa ansässige Datenverarbeiter zu setzen, die keinerlei personenbezogene Daten in die USA transferieren.
Zwar gibt es Auswege, um weiterhin mit US-amerikanischen Datenverarbeitern zusammenzuarbeiten, aber die bringen einige unklare Parameter ins Spiel.
Europäische Unternehmen respektieren in überwiegendem Maß die Privatsphäre ihrer in- und ausländischen Kunden und nehmen große Aufwände in Kauf, um deren Daten angemessen zu verarbeiten und zu schützen. Es hat niemals eine ebenbürtige Behandlung von Nicht-US-Kunden in den USA gegeben. Die vernetzte, digitale Welt ermöglicht es, umfangreiche Daten zu speichern und auszuwerten und der internationale Fokus auf den Rahmenbedingungen des Datenschutzes in den letzten Jahren ist eine logische Konsequenz daraus. So wird auch in der Wahrnehmung der Nutzer eine korrekte Einhaltung des Datenschutzes und transparente Information über die Datenhaltung ein immer wichtigerer Aspekt bei der Wahl eines Anbieters. Natürlich werden rechtlich und technisch Möglichkeiten erarbeitet, die Daten der eigenen Kunden auch bei Unternehmen aus den USA zu speichern, doch wer langfristig auf der sicheren Seite sein will und das Vertrauen seiner Kunden nicht aufs Spiel setzen möchte, wird – wo möglich – in Zukunft auf europäische Datenverarbeiter setzen.
Autor: Franz Kolostori
Bornholmer Straße 91
10439 Berlin
Telefon: +49 30 1 388 288-0
E-Mail: info[at]eyepin.com
Billrothstraße 52
1190 Wien
Telefon: +43 1 961 7777-0
E-Mail: office[at]eyepin.com
