Der Datenschutzaktivist Max Schrems hat nach Safe Harbor den nächsten EU-US-Datenschutzdeal zu Fall gebracht. Der EuGH hat jetzt den Privacy-Shield gekippt. Somit wurde die Hauptgrundlage für Datentransfers zwischen der EU und den USA für unwirksam erklärt (EuGH, 16.7.2020 – C-311/18 “Schrems II”, Pressemitteilung). Laut den Richtern wären EU-Bürger unzureichend gegen Zugriffsmöglichkeiten der US-Behörden geschützt.
Dabei richtete sich die Klage ganz konkret gegen Facebook. Der Datenschutzaktivist beanstandete konkret, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Dort sei der Konzern dazu verpflichtet, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen – ohne dass Betroffene dagegen vorgehen könnten. Der EuGH entschied jetzt in der Frage eines irischen Gerichts, ob die sogenannten Standardvertragsklauseln und das EU-US-Datenschutzabkommen Privacy-Shield mit dem europäischen Datenschutzniveau vereinbar seien.
Was heißt das jetzt konkret für europäische Unternehmen?
1.
Wenn sie US-Anbieter nutzen, sollten sie bei diesen nach EU-Servern fragen– Viele Anbieter, wie z. B. Amazon Web Services (AWS) oder Microsoft bieten die Möglichkeit an, dass Daten auf EU-Servern gespeichert werden (auch hier bestehen Rechtsunsicherheiten, aber angesichts derzeitiger Lage ist diese Lösung eine hinreichend sichere Option).
2.
Noch besser: erst gar keine US-Dienstleister einsetzen! Zumindest sollten Sie ernsthaft darüber nachdenken und Prozesse dazu anstoßen, um im Fall der Fälle zumindest nachweisen zu können, dass Sie sich um Alternativen bemüht haben.
3.
Keine Dienstleister mit US-Subunternehmern einsetzen: Keine Dienstleister einsetzen, deren Subunternehmer die Daten in den USA verarbeiten.
4.
Verträge und Datenschutzhinweise anpassen: Verträge und Datenschutzerklärungen anpassen und Hinweise auf das Privacy-Shield entfernen.