LIEBE LESERIN,
LIEBER LESER,
wieder einmal hat ein Urteil des Europäischen Gerichtshofs (EuGH) die Datenschutz-Welt durcheinandergewirbelt. Betroffen sind insbesondere die Nutzer von Online-Diensten, die in den USA betrieben werden, und damit sehr viele Unternehmen in Deutschland.
Datenübermittlung in die USA – auch ohne Privacy Shield?
Nahezu jedes Unternehmen übermittelt Daten in die USA. Seit Kurzem hört man viel vom „Ende des Privacy Shield“.
Auf den ersten Blick scheint das ein Thema nur für Spezialisten. Es hat aber Auswirkungen auf den Alltag im Unternehmen.
Übermittlungen in die USA nur bei angemessenem Datenschutzniveau
Die USA sind kein Teil der Europäischen Union, sie sind vielmehr ein „Drittstaat“. Die Übermittlung von personenbezogenen Daten in die USA ist deshalb an besondere Voraussetzungen gebunden. Sie ist nur zulässig, soweit in den USA ein „angemessenes Datenschutzniveau“ herrscht.
Der Privacy Shield – bisher praktisch und bequem
An dieser Stelle kommt der „Privacy Shield“ ins Spiel. Es handelte sich dabei um eine Art Register. Jedes US-Unternehmen, das bestimmte Voraussetzungen des Datenschutzes erfüllte, konnte sich dort eintragen lassen. Die Europäische Kommission hatte förmlich festgelegt: Wenn ein US-Unternehmen registriert ist, herrscht in diesem Unternehmen ein angemessenes Datenschutzniveau. Über 5.500 US-Unternehmen haben diese Möglichkeit genutzt. Dazu gehören auch Internet-Giganten wie Google.
Europäische Unternehmen als Nutznießer
Nutznießer dieses Verfahrens waren vor allem die europäischen Geschäftspartner der registrierten US-Unternehmen. Diese Geschäftspartner konnten an ihre US-Partner personenbezogene Daten genauso leicht übermitteln wie an Geschäftspartner innerhalb der Europäischen Union. Das war praktisch und bequem.
Der Privacy Shield – aus und vorbei!
Mitte Juli 2020 stoppte der Europäische Gerichtshof diese Verfahrensweise. Er stellte fest, dass der „Privacy Shield“ gerade nicht für ein angemessenes Datenschutzniveau bei den registrierten US-Unternehmen sorgt. Die Folge: Vielen Datenübermittlungen in die USA fehlt jetzt eine tragfähige rechtliche Grundlage.
Schwierige Situation für alle Unternehmen
Das Urteil wirkte wie ein Keulenschlag. Es räumt keinerlei Übergangsfrist ein. Die Rechtsgrundlage „Privacy Shield“ fiel über Nacht weg. Das führt im Augenblick zu folgender Situation:
- In manchen Fällen gibt es noch eine weitere Rechtsgrundlage für die bisher üblichen Datenübermittlungen in die USA. Das ist etwa der Fall, wenn eine Datenübermittlung erforderlich ist, um einen Vertrag mit einem Kunden ordnungsgemäß zu erfüllen. Dann ist die Übermittlung schon unmittelbar nach der Datenschutz-Grundverordnung zulässig. In diesem Fall kann alles einfach so weiterlaufen wie bisher.
- Ziemlich oft ist es jedoch so, dass der Privacy Shield die einzige rechtliche Basis für die Datenübermittlung in die USA war. Dann muss bildlich gesprochen schnell eine neue Rechtsgrundlage her. Das ist eine große rechtliche Herausforderung.
Enorme Bedeutung für Geschäfte mit den USA
Dies ist der Hintergrund dafür, warum die Datenübermittlungen in die USA in der nächsten Zeit vielleicht auch für Sie ein Thema sein werden. Das kommt im Augenblick sicher ungelegen. Schließlich machen die Corona-Folgen schon genügend Mühe. Das Thema ist aber wichtig, damit unentbehrliche Datenübermittlungen in die USA auch künftig rechtskonform ablaufen können.
Datenübermittlung in die USA – was bringt die Verschlüsselung?
Die Datenübermittlung in einen Drittstaat wie die USA ist nur zulässig, wenn dort ein angemessenes Datenschutzniveau sichergestellt ist. Reicht es dazu, die personenbezogenen Daten zu verschlüsseln? Oder ist die Verschlüsselung nur eine Maßnahme von vielen?
Handlungsbedarf bei der Nutzung von Online-Diensten aus den USA
Drei von vier Unternehmen (76 Prozent) nutzten im Jahr 2019 Rechenleistungen aus der Cloud, so die Studie „Cloud-Monitor 2020“ des Digitalverbands Bitkom und der Wirtschaftsprüfungsgesellschaft KPMG. Unternehmen aus Deutschland nutzen Cloud-Dienste aber nicht nur, um Daten zu speichern (Cloud-Storage genannt). Sie verwenden auch Anwendungen aus der Cloud wie Office-Programme, E-Mail-Dienste, Terminverwaltungen, Videokonferenzdienste und Programme zur Datenanalyse, um nur einige Beispiele zu nennen.
Viele Cloud-Dienste werden dabei von Unternehmen aus den USA betrieben. Werden personenbezogene Daten in die Cloud übermittelt, muss es dafür eine Rechtsgrundlage geben, so will es die Datenschutz-Grundverordnung (DSGVO). Bei vielen Cloud-Diensten aus den USA galt bisher der sogenannte „Privacy Shield“ als die Rechtsgrundlage. Mit dem Urteil des Europäischen Gerichtshofs (EuGH), dass der Privacy Shield als rechtliche Grundlage für die Übermittlung personenbezogener Daten in die USA ungültig ist, stehen viele Unternehmen nun vor einer Herausforderung: Wie können sie nun personenbezogene Daten in einen Cloud-Dienst übertragen, der in den USA betrieben wird?
Von rechtlicher Seite gibt es viele Überlegungen und Hinweise, worauf ein Unternehmen nun achten muss. Gleichzeitig melden sich Anbieter von Verschlüsselungslösungen zu Wort, man könne das Privacy-Shield-Problem lösen, indem man einfach alle Daten verschlüsselt.
So manches Unternehmen denkt nun: Wenn die Daten verschlüsselt sind, kann man sie problemlos in die USA übermitteln, auch wenn Privacy Shield keine Rechtsgrundlage sein kann und es keine andere Rechtsgrundlage gibt. Doch stimmt das?
Nutzung der verschlüsselten Daten in den USA
Ohne in die Tiefen des Datenschutzrechts einzutauchen, lohnt sich bereits die Überlegung, ob die Daten beim Empfänger, also zum Beispiel bei dem Cloud-Betreiber in den USA, verschlüsselt bleiben. Nehmen wir das Beispiel, dass ein Unternehmen einen Cloud-Dienst für Maschinelles Lernen in den USA nutzen möchte, ein häufig anzutreffender Fall.
Zum einen lassen sich die verschlüsselten Daten nicht mittels Maschinellen Lernens verarbeiten und analysieren. Zum anderen muss auch auf dem Server in den USA sichergestellt sein, dass nur Befugte die Daten weiterverarbeiten. Das setzt aber eine Rechtsgrundlage voraus. Ein „Ersatz“ für Privacy Shield ist die Verschlüsselung also nicht.
Personenbezug bei verschlüsselten Daten
Manchmal hört man das Argument, verschlüsselte Daten würden nicht mehr dem Datenschutz unterliegen, denn sie hätten den Personenbezug verloren. Wäre dem so, könnten verschlüsselte Daten ohne datenschutzrechtliche Vorgaben übermittelt und verarbeitet werden.
Aber Vorsicht: Verschlüsselte Daten sind ein klassisches Beispiel für Pseudonymisierung, so die Aufsichtsbehörden für den Datenschutz. Die verschlüsselten Informationen beziehen sich auf Personen, die durch einen Code gekennzeichnet sind, während der Schlüssel für die Zuordnung des Codes zu den Kennzeichen der Personen (zum Beispiel Name, Geburtsdatum, Adresse) gesondert aufbewahrt wird.
Pseudonyme Daten sind jedoch weiterhin personenbeziehbar. Denn sie lassen sich durch Heranziehung zusätzlicher Informationen einer natürlichen Person zuordnen. Man müsste zuverlässig verhindern können, dass der Cloud-Betreiber in den USA oder andere Stellen dort den Schlüssel zur Entschlüsselung erlangen können. Dann aber könnten die Daten in der Cloud auch nicht weiterverarbeitet werden.
Man kann also nicht davon ausgehen, dass verschlüsselte Daten nicht mehr dem Datenschutz unterliegen. Unternehmen brauchen somit auch für die Übermittlung verschlüsselter Daten eine Rechtsgrundlage.
Allein die Verschlüsselung reicht nicht
Aber auch wenn es nicht ausreicht, die personenbezogenen Daten zu verschlüsseln, um sie in einen Drittstaat wie die USA übermitteln zu dürfen, ist die Verschlüsselung durchaus eine wichtige zusätzliche Maßnahme bei einer Datenübermittlung. Verschlüsselung gehört zu den zusätzlichen Maßnahmen, um ein Datenschutzniveau sicherzustellen, das dem in der EU gleichgestellt ist, so die Aufsichtsbehörden. Nur dann, wenn ein angemessenes Datenschutzniveau im Empfängerland bei der Übermittlung personenbezogener Daten sichergestellt ist, darf die Datenübermittlung erfolgen. Nur dann also dürfen Unternehmen Online-Dienste aus den USA weiterhin nutzen, wenn damit personenbezogene Daten verarbeitet werden sollen. Die Verschlüsselung allein reicht dafür nicht, auch wenn dies manche Anbieter behaupten. Es gilt nun besonders, Angebote zu hinterfragen, die technische Lösungen zum Privacy-Shield-Problem offerieren.