Sycor Group LogoSycor Group Logo
Sycor Group LogoSycor Group Logo
Datensicherheit
Der Datentransfer zwischen EU und USA weiterhin sicher möglich

Der Datentransfer zwischen EU und USA weiterhin sicher möglich

26. Oktober 2020

Nach Safe Harbor trifft es nun auch Privacy Shield: Der Europäische Gerichtshof urteilt gegen das Datentransfer-Abkommen. Unternehmen sollten jetzt prüfen, welche Art von Daten sie mit Hilfe der Services von US-Dienstleistern verarbeiten und sich mit EU-Standardvertragsklauseln absichern.

Es ist und bleibt ein schwieriges Thema: Wie lässt sich angemessener Datenschutz garantieren, wenn Daten von EU-Ländern auf den Servern amerikanischer Dienstleister verarbeitet werden? Nachdem der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen 2015 für ungültig erklärte – die Vertreter der EU und der USA waren sich damals schon nicht einig, was unter einem „angemessenen Schutzniveau“ zu verstehen sei – wurden neue Regelungen notwendig. Denn viele europäische Unternehmen greifen auf die Dienste von US-Unternehmen wie Amazon, Google und Microsoft zurück – umso wichtiger ist es, dass hier Klarheit über die rechtlichen Hintergründe beim Datenaustausch besteht.

Seit 2016 galt deshalb das Privacy-Shield-Abkommen als Grundlage für die Zusammenarbeit. So wurden beispielsweise Grundsätze zum Datenschutz vereinbart, die amerikanische Unternehmen einzuhalten haben und von den US-Behörden sogenannte „Garantien und Beschränkungen für den Datenzugriff“ gefordert. In der Praxis erleichterten die Privacy-Shield-Regelungen den Transfer von personenbezogenen Daten zwischen der EU und den USA, weil sie einen Sicherheitsrahmen boten. Nicht datenschutzkonform genug, urteilten nun die EuGH-Richter und erklärten das Privacy Shield mit Blick auf die DSGVO für unwirksam.

 

Was bedeutet das Privacy Shield-Urteil konkret?

Zwar hat der EuGH mit seinem Urteil dem transatlantischen Datentransfer eine der Grundlagen entzogen. Aber: Das bedeutet nicht, dass Unternehmen nun keine Daten mehr in den USA verarbeiten lassen dürfen. Die Aufhebung besagt vielmehr, dass alle Verarbeitungsvorgänge, die sich bisher „ausschließlich“ auf die Bestimmungen des Privacy Shield bezogen, nun unzulässig sind. Wichtig ist zudem, immer vor Augen zu haben, dass es hierbei ausschließlich um personenbezogene Daten oder personenbeziehbare Daten handelt, die durch die DSGVO und die länderspezifischen Gesetze geschützt sind und in die USA exportiert (gespeichert, verarbeitet, etc.) werden. Zudem bleiben die EU-Standardvertragsklauseln, welche grundsätzlich mit Geschäftspartnern aus nicht EU-Staaten abgeschlossen werden sollten, in Kraft. Diese Vereinbarung kann zwischen den Geschäftspartnern geschlossen werden, um die Datenverarbeitung nach bestimmten Datenschutzgrundsätzen rechtlich abzusichern.

Was können und was müssen betroffene Unternehmen jetzt tun? Jedes Unternehmen sollte nun prüfen, ob es personenbezogene oder personenbeziehbare Daten über einen Dienstleister in die USA transferiert. Die folgende kurze Checkliste zählt die wichtigsten Fragen auf, die Unternehmen sich jetzt in Bezug auf jeden dieser Partner stellen sollten:

  • Wo stehen die Server des beauftragten US-Dienstleisters?
  • Wie läuft der Datentransfer genau ab? Welche (Cloud-)Dienste werden genutzt? Welche eigenen Partner, wie beispielsweise Lieferanten, sind involviert?
  • Passiert dieser Datentransfer ausschließlich auf der Basis des Privacy-Shield-Abkommens?
  • Wurden Standardvertragsklauseln vereinbart? Müssen diese gegebenenfalls angepasst oder neu vereinbart werden? (Das EuGH macht eine Einzelfallprüfung hier zur Bedingung. Die US-Unternehmen, die nicht bereits auf diesen Grundlagen arbeiten, werden ihre Angebote nachbessern.)
  • Liegen andere Vereinbarungen oder Statements zum Datentransfer vor? Wie steht der jeweilige US-Dienstleister zu dem Thema?

Microsoft garantiert Services nach europäischem Recht

Namhafte Anbieter wie Amazon und Microsoft, die mit europäischen Kunden einen durchaus signifikanten Umsatzanteil erwirtschaften, haben schon länger die EU-Standardvertragsklauseln in ihre Verträge zur Auftragsverarbeitung eingebaut. In einer offiziellen Stellungnahme bestätigt Microsoft, dass sich dank überlappender Schutzmaßnahmen für die Geschäftskunden nichts ändert, weder an der Sicherheit des Datentransfers noch an der Qualität der Services. Das Unternehmen kündigt zudem an, proaktiv mit der Europäischen Kommission und der US-Regierung nun aufkommende Fragen zu klären.

Aus unserer Sicht ein sehr wichtiges Engagement seitens Microsoft, um den Kunden in Europa und weltweit eine datenschutzkonforme Auftragsverarbeitung zur Verfügung zu stellen. Denn Cloud-Dienste gehören für viele Unternehmen längst zum strategischen Geschäftsalltag – Datenschutzbedenken sollten da kein Stolperstein sein.  

Weiterführende Links und Informationen

Ihr Ansprechpartner

Sie haben Fragen zu diesem Thema, möchten nähere Informationen und suchen einen Experten, der Ihnen weiterhilft?

Kontaktieren Sie uns! Wir freuen uns auf eine erfolgreiche Zusammenarbeit mit Ihnen.

Florian Schlee

Sales Manager
Technologie Services
+49 89 30 77 30 35

Kontaktformular

Unsere Partner

Alle Partner