Der zerbrochene Schild – Was Unternehmen nach dem Privacy Shield-Urteil beachten müssen

Das Jahr 2020 war in mehrerer Hinsicht ein schwieriges Jahr für Unternehmen. Auch datenschutzrechtlich ist eine Veränderung eingetreten, die Maßnahmen im Geschäftsbetrieb verlangt. Im Sommer diesen Jahres wurde vom Europäischen Gerichtshof das Privacy-Shield-Datenschutzabkommen zwischen der EU und den USA gekippt. Die juristischen Folgen dieses Urteils sind für viele Unternehmen nur schwer zu überschauen. Das aktuelle Whitepaper der Open Source Business Alliance bringt in kompakter Form Licht ins Dunkel und gibt konkrete Hinweise zum Umgang mit den neuen Regeln.

Das Privacy-Shield-Datenschutzabkommen beinhaltete Datenschutzgrundsätze, zu denen sich US-amerikanische Unternehmen verpflichten konnten, indem sie sich in eine Liste des US-Handelsministeriums eintragen ließen. Bis zum Urteil des Europäischen Gerichtshofs war mit dem EU-US Privacy Shield ein Datentransfer in die USA nach den selben Regeln wie innerhalb der EU möglich. Doch diese Rechtgrundlage wurde mit dem Urteil vom 16. Juli 2020 für unwirksam erklärt. Gemessen an der EU-Grundrechte Charta wurden die staatlichen Überwachungsmaßnahmen der USA als unverhältnismäßig eingestuft. Damit fällt die USA zurück in den Status eines Drittlandes wie beispielsweise Indien, China oder Russland.

Es werden jedoch täglich riesige Mengen personenbezogener Daten aus der EU an die USA übermittelt. Unternehmen speichern immer häufiger Daten in der Cloud und setzen Software US-amerikanischer Anbieter ein. Die Speicherung der Daten ist jedoch nicht das einzige Problem, denn auch alle weiteren Verarbeitungen und Übermittlungen personenbezogener Daten sind betroffen.

Unternehmen, die aufgrund des EuGH-Urteils eine Bestandsaufnahme ihrer Datenübermittlungen in Drittländer durchführen, müssen also nicht nur ihre Datenbestände analysieren, sondern auch alle dort stattfindenden Verarbeitungen. So gibt es etwa zahlreiche Cloud-Anwendungen, die Daten zwar in der EU speichern, spezifische Verarbeitungen hingegen nach wie vor in den USA durchführen. Weil der Europäische Gerichtshof keine Übergangs- oder Schonfrist eingeräumt hat, müssen Unternehmen so zeitnah wie möglich mit ersten Maßnahmen beginnen und diese Aktivitäten nachweisen.

In dem neu erschienenen Whitepaper der Open Source Business Alliance (OSB Alliance) beschreibt die zertifizierte Datenschutz-Expertin Henriette Baumann, die mit ihrem Beratungsunternehmen als Datenschutzbeauftragte für international agierende Unternehmen tätig ist, worauf Unternehmen jetzt achten müssen. Es wird sehr konkret beschrieben, welche Maßnahmen ergriffen werden können und müssen. Eine Checkliste enthält die wichtigsten Dos und Dont‘s.