Privacy Shield ist tot – was nun?
Was ist geschehen
Am 16.Juli 2020 hat der Europäische Gerichtshof den Angemessenheitsbeschluss der EU-Kommission für den Datentransfer in die USA für unwirksam erklärt (Urteil EuGH C-311/18) – damit ist nach Safe Harbour nun auch Privacy Shield gekippt und Datenexporte in die USA auf Basis dieses Abkommens rechtswidrig.
Der EuGH hat zwar die Wirksamkeit der Standardvertragsklauseln als Alternative bestätigt, aber wenn man das Urteil genau liest muss man als Unternehmen zusätzliche Maßnahmen treffen, und letztlich, werden vermutlich auch die Standardvertragsklauseln langfristig nicht halten. Auch wenn amerikanische Anbieter damit kalmieren - diese Klauseln und die verbindlichen internen Verhaltensregeln sind nicht die Lösung für die Zukunft!
Was ist das Problem
Der Hintergrund für das Urteil ist hauptsächlich die Situation der Sicherheitsgesetze in den USA. Diese ermöglichen Zugriffsrechte von Behörden und Geheimdiensten ohne rechtsstaatliche Kontrolle und ohne Rechtsbehelf für EU-Bürger. Solange also diese Gesetze gelten wird es schwierig sein eine rechtmäßige Übermittlung durchzuführen. Das gilt für Privacy Shield aber eben auch für alle anderen Garantien.
Auf welche Anwendungen trifft das zu
Kurz gesagt – oftmals eine Vielzahl. Betroffen davon können sein ERP oder CRM Systeme in der Cloud (zB Salesforce) , Cloudservices wie etwa Azure, Google Cloud, Amazon Webservices oder vergleichbare. Aktuell ein Riesenthema sind auch Videokonferenz und Kollaborationssysteme wie WebEx, Zoom Teams etc. Auch betroffen sind MS365, iCloud, DropBox und viele mehr. Auch die Sozialen Medien der großen US-Anbieter sind - übrigens auch schon vor dem Urteil – möglicherweise ein Problem im Hinblick auf DSGVO Compliance; und auch im Online Marketing stehen viele Unternehmen vor einem Problem – denn der Einsatz von Google Analytics, Mailchimp usw. ist vom Urteil unmittelbar betroffen.
Was bedeutet das für Unternehmen
Zunächst einmal, dass man unter Umständen ab sofort keine Daten mehr in die USA übermitteln darf, ohne einen Verstoß zu riskieren. Ein Umstieg auf Standardvertragsklauseln oder andere Möglichkeiten ist eine empfohlene Sofortmaßnahme aber leider, wie erwähnt, keine Dauerlösung!
Es gibt also Handlungsbedarf, und die Situation zu ignorieren ist keine gute Lösung. Im Übrigen sind auch Unternehmen mit US-Mutter- oder Tochterfirmen betroffen, denn auch bei der ‚internen‘ Datenübermittlung handelt es sich um Datenexport und man benötigt auch dafür geeignete Garantien betreffend Datenschutz.
Daher sollte man seine Verarbeitungen durchforsten und jene Verarbeitungen identifizieren, bei denen es zu Datenübertragung in die USA kommt. Es ist zu prüfen, ob als Garantie Privacy Shield herangezogen wurde und ob der Datenimporteur in den USA Standardvertragsklauseln anbietet oder eine andere Möglichkeit gewählt werden könnte.
Wenn Sie Standardvertragsklauseln nutzen, dann gilt es zu überlegen welche Zusatzmaßnahmen und Prüfmechanismen in die Wege geleitet werden müssen. Gerne bieten wir dafür fachkundige Unterstützung an - Informationen dafür finden Sie am Ende des Beitrags.
Eine nachhaltige Alternative
Das Urteil, aber vor allem die dahinterliegende Begründung zeigen auf, dass es sehr wohl einen massiven Unterschied im Datenschutzniveau zwischen Europa und anderen Ländern gibt. Dies wirft wieder einmal die Frage nach den Alternativen auf den Plan und schon allein deshalb sollten europäische Cloudanbieter auf längere Sicht bevorzugt werden. Noch ist zwar in vielen Bereichen das Serviceportfolio nicht vergleichbar, dennoch gibt es mehr und mehr sehr gute Angebote. Für österreichische IT-Anbieter, auf der anderen Seite, ist das Urteil eine Chance, sich als Datenschutz- und Sicherheits-konformer Partner zu positionieren.
Die ICT Austria und seine Mitglieder haben sich jedenfalls zum Ziel gesetzt, das österreichische Angebot zu forcieren und auszuweiten, sowie mit ihren Kunden zukunftssichere Angebote innerhalb der EU zu entwickeln. Wir beteiligen uns außerdem auch am europäischen Cloudprojekt GAIA-X (hierzu wird ein Expertenbeitrag von ICT Austria mit mehr Details und Infos folgen) und arbeiten an einer Lösung von Europa für Europa. Gerade ein kleines Land wie Österreich und seine kleinstrukturierte IT-Branche könnten hier ein völlig neues Image aufbauen und für sich, aber auch für Kunden außerhalb Europas, die alternative Lösung zu den jetzigen Big Players suchen und ein sicheres, vernünftiges Angebot schaffen. Das ist bei Weitem nicht nur eine Frage des Datenschutzes, denn es geht hier auch um eine strategische Betrachtung der Frage ‚Wie garantiere ich einen gesicherten Zugriff und die Verfügbarkeit von Daten und Services in der Cloud?‘. Dass es aktuell und immer wieder zu Kontroversen zwischen USA- EU, China-EU und Russland-EU kommt und dass die Datenhoheit und die Verfügbarkeit von Services hier eine zentrale – in Zukunft vielleicht sogar die wichtigste – Rolle spielen, ist kein Geheimnis. Daher geht es also auch um die Frage, was passiert, wenn über dem Teich jemand ‚den Stecker zieht‘?
Zusätzlich zum Datenschutzthema gibt es also auch andere wichtige Gründe, ein europäisches und auch ein österreichisches Angebot zu forcieren. Es bedarf dazu sicherlich noch zusätzlicher Maßnahmen und Rahmenbedingungen – auch finanzieller Natur – um dies umzusetzen. Richtig ist auch, dass wir in Europa hier noch aufzuholen haben. Vielleicht sind also das Urteil und seine Konsequenzen der sprichwörtliche Wink mit dem Zaunpfahl für die österreichische und europäische IT-Landschaft an mehr Autonomie und einem attraktiveren, wettbewerbsfähigen Angebot zu arbeiten.
Was denken Sie – kontaktieren Sie uns, falls Sie Fragen haben, Unterstützung brauchen oder mit guten Ideen die Initiativen für eine selbstbestimmte europäische IT-Infrastruktur fördern wollen.
Autor: Horst Ortmann
DI Horst Ortmann MBA CMC ist Gründungs- und Vorstandsmitglied der ICT Austria und hat mehr als 15 Jahre Erfahrung als IT-Manager, CIO und Datenschutzexperte.
Er begleitet Kunden als Berater bei der digitalen Transformation unter anderem bei Datenschutz-Compliance Projekten, Datenschutzaudits und als behördlich genannter, externer Datenschutzbeauftragter.
Kontakt unter privacy@digitalinspire.at