• English

Was du unbedingt zur DSGVO, Privacy Shield & Co. wissen solltest!

Im Gespräch mit Marcus Dury - Datenschutz und Datensicherung bei US-Anbietern
von Johanna
30. Mai 2022

Im Gespräch mit Marcus Dury — Datenschutz bei US-Anbietern

Unser Geschäftsführer Marcus im Gespräch mit Rechtsanwalt Marcus Dury LL.M. von DURY LEGAL über Datenschutz, die DSGVO und was es insbesondere bei der Zusammenarbeit mit US-Anbietern nach aktueller Rechtslage zu beachten gilt. Besonders im Hinblick auf die DSGVO der europäischen Union (EU) und vor dem Hintergrund des CLOUD Act sowie des im Jahr 2020 gekippten Privacy Shield-Abkommens, ist es interessant zu wissen, wie es sich mit dem Datenschutz und Datentransfer personenbezogener Daten in die USA verhält. 


Das Thema kurz im Überblick.

Inhaltsverzeichnis

  1. Im Profil – wer ist Marcus Dury
  2. Kurz und knapp: Was sagt die DSGVO?
  3. Das EU-US-Privacy Shield
  4. Der Status quo – Datenschutzabkommen
  5. Was jedes Unternehmen für die eigene Datensicherheit tun kann.
  6. Fazit
 

1. Im Profil

Marcus Dury ist Fachanwalt für IT-Recht. Die Kanzlei DURY LEGAL Rechtsanwälte arbeitet schwerpunktmäßig in den Bereichen des Wirtschaftsrechts, darunter IT-Recht, Markenrecht, Wettbewerbsrecht sowie Urheberrecht. Neben der Kanzlei ist Marcus auch noch in andere Unternehmen engagiert, z.B. der Website-Check GmbH (www.website-check.de)  Die Website-Check GmbH bietet Website- und Online-Shop-Betreibern sowie Agenturen Lösungen, mit denen sie mit wenig Aufwand rechtlich erforderliche Rechtstexte, wie z.B. ein Impressum, eine Datenschutzerklärung, Cookie-Hinweise oder Online-Shop AGB von einem KI-basierten Cloud-Service erstellen und updaten lassen können. Bei größeren Anbietern können die Website-Check Services direkt in Homepage-Baukästen und andere Produkte integriert werden.
Die Kanzlei DURY LEGAL besteht seit 2010 und wurde gemeinsam mit der Website-Check GmbH und der Unternehmensberatungsgesellschaft DURY CONSULT (www.datenschutz-compiance.de)  zur DURY GRUPPE erweitert. Mittlerweile beschäftigt die DURY GRUPPE ca. 50 Mitarbeiter in Saarbrücken und erwirtschaftet jährlich mehrere Millionen Euro Umsatz.

2. Kurz und knapp: Was besagt die DSGVO?

Die DSGVO ist die Datenschutzgrundverordnung der EU, die seit dem 25. Mai 2018 anwendbar ist. Sie befasst sich mit der Erfassung und Handhabung personenbezogener Daten innerhalb von Unternehmen. Diese Regelungen gelten für alle in der EU tätigen und ansässigen Unternehmen aber auch für nicht EU-Unternehmen, die Daten von EU-Bürgern verarbeiten.


Die Verordnung bezieht sich hauptsächlich auf den Schutz der Persönlichkeitsrechte jedes einzelnen EU-Bürgers und soll eine geordnete Datenverarbeitung von personenbezogenen Daten garantieren. Diese dürfen also entweder nur mit vorheriger Zustimmung der betreffenden Personen erhoben, gespeichert oder in sonstiger Weise verarbeitet werden oder es muss einer der anderen Erlaubnistatbestände der DSGVO eingreifen. Erteilte Zustimmungen können jederzeit widerrufen werden.

Ziel der DSGVO ist es, die Verarbeitung personenbezogener Daten innerhalb von Unternehmen und Behörden klar zu regeln.


Die DSGVO regelt auch, wann die Weitergabe von persönlichen Daten verboten ist bzw. problematisch werden kann. Dazu zählen beispielsweise der Transfer von personenbezogenen Daten in sog. “unsichere” Drittstaaten wie die USA, also in Staaten, deren Datenschutzniveau nicht dem Europäischen Niveau entspricht. Es gilt der Grundsatz, dass bei der Weitergabe von personenbezogenen Daten außerhalb der EU das europäische Datenschutzniveau gewährleistet werden muss.


Darauf basierend ist es immer ratsam bei der Zusammenarbeit mit Service-Anbietern oder Hostern, auf deren Standorte und Konzernstrukturen zu achten. Befinden sich die Rechenzentren außerhalb der EU oder werden die Anbieter von Muttergesellschaften beherrscht, die ihren Sitz außerhalb der EU haben, werden alle mit diesen Anbietern oder Hostern zusammenhängende  Datenverarbeitungsvorgänge als Datenexport / Drittstaatentransfer im Sinne der DSGVO behandelt. 


Selbst wenn also die Rechenzentren von solchen Anbietern / Hostern in der EU angesiedelt sein sollten, ist man nicht auf der sicheren Seite, da US-amerikanische Behörden auch Daten von Unternehmen aus der EU anfordern können.Gegen solche Datenzugriffe können sich EU-Bürger / EU-Unternehmen rechtlich auch nicht wehren. Sie werden noch nicht einmal informiert. Dem kann man durch eine Zusammenarbeit mit rein europäischen  Unternehmen – mit Standorten und Servern in der EU – effektiv vorbeugen.

3. Das EU-US-Privacy Shield

Das EU-US Privacy Shield umfasste Absprachen zum Datenschutz zwischen der Europäischen Union und den USA. Die Absprachen erlaubten, unter bestimmten Voraussetzungen, personenbezogene Daten von Bürgern der Europäischen Union in die USA zu übermitteln und dort zu verarbeiten. Damit bestand eine datenschutzrechtliche Rechtsgrundlage für die Nutzung von Services und Hostern aus den USA. Im Jahr 2020 hat der EuGH (der Europäische Gerichtshof) das EU-US Privacy Shield allerdings für ungültig erklärt, da es schlichtweg nicht geeignet war, das Datenschutzniveau der DSGVO zu gewährleisten.

4. Der Status quo — Datenschutzabkommen

Zurzeit existiert demnach kein Abkommen zum Datenschutz zwischen den USA und der EU und damit sind per se erst einmal alle Datentransfers von personenbezogenen Daten zu Anbietern aus den USA ohne jegliche Rechtsgrundlage und damit datenschutzwidrig. Soweit die schlechte Nachricht. Die gute Nachricht ist aber, dass die Datenschutzaufsichtsbehörden sich um diese Problematik nicht aktiv kümmern und der Verfolgungsdruck recht gering ist. Zudem  arbeiten die EU und die USA bereits an einem Nachfolgeabkommen, dem “Trans Atlantic Data Privacy Framework (TADPF), zu dessen Inhalt und Inkrafttreten es allerdings noch keine klaren Informationen gibt.


In diesem Zusammenhang ist auch das sog.  US CLOUD Act relevant. Hierbei handelt es sich um ein US-Gesetz, das es den US-Behörden seit dem Jahr 2018 gestattet, auf personenbezogene Daten von EU-Bürgern zuzugreifen, die auch außerhalb der USA und unabhängig vom Standort durch US-amerikanische IT-Unternehmen gespeichert werden.


Der dadurch entstandene Konflikt der Vereinbarkeit mit der DSGVO prägt die aktuelle Lage und die Ungewissheit, worüber uns Marcus von DURY LEGAL in dem verlinkten Webinar Einblicke und Lösungsmöglichkeiten anbietet.

5. Was jedes Unternehmen für die eigene Datensicherheit tun kann.

TIPP


Wenn eine Alternative zu US-Anbietern / US-Services in Europa durch Europäische Unternehmen zur Verfügung steht, sollte auf diese zurückgegriffen werden.

Da die aktuelle Situation – ohne internationales Datenschutzabkommen zwischen der EU und den USA – ist eine Herausforderung für alle deutschen Unternehmen, denn niemand weiß, ob und wie lange die Datenschutzaufsichtsbehörden den Einsatz von US-Services von US-Anbietern noch tolerieren werden.  Wenn Unternehmen ihre Datenverarbeitungsprozesse rein europäisch aufbauen, können diese Prozesse nachhaltig abgesichert werden. Dass sich die Rechtslage dann wieder fundamental ändern wird, ist eher unwahrscheinlich. Die gute Nachricht:  Viele US-Tools können relativ einfach durch rein europäische Services (ohne erzwungene Weitergabe von Daten) vollumfänglich ersetzt oder ausgetauscht werden. 
Das klingt erst einmal verwirrend und nach einem großen Mehraufwand? Das ist es Gott sei dank nicht immer, da es auch möglich ist, US-amerikanische Services durch lokal gehostete Lösungen zu ersetzen. Beispielsweise kann über die Open Source Lösung Nextcloud alles von Filehosting bis Video-Konferenzen abgelöst werden. Setzt man auf Anbieter wie Dropbox, kann die Datensicherheit auch durch eine eigene Verschlüsselung der Daten sichergestellt werden. 


Zur Sicherstellung des Datenschutzes ist es oft die beste Lösung, sich frühzeitig nach europäischen Alternativen umzuschauen, um die Regeln der DSGVO vollständig beachten zu können. Gleichzeitig kann so auch weiterführenden Problemen präventiv vorgebeugt werden.

6. Fazit

Unternehmen sollten das Thema Datenschutz und Informationssicherheit immer auf dem Radar haben, wenn sie ihre Datenverarbeitungsprozesse organisieren und Dienstleister auswählen. , Da aktuell kein Datenschutzabkommen zwischen der EU und den USA besteht und keiner weiß, wie lange die Aufsichtsbehörden noch mit beiden Augen wegsehen, macht es Sinn – wo immer möglich – deutsche bzw. Europäische Anbieter auszuwählen, die nicht von US-Unternehmen beherrscht werden. 


Ein sauberes Dienstleistermanagement und wohl durchdachtes Datenverarbeitungskonzept, das die Anforderungen der DSGVO abbildet, ermöglicht es, unangenehme Nachfragen von Kunden, die aus Compliance-Gründen keine US-Anbieter tolerieren, offen und ehrlich zu beantworten. Dies kann einen echten Wettbewerbsvorteil mit sich bringen und auch der “Trust” in das eigene Unternehmen steigt aus Kundensicht. Wenn man seine Datenverarbeitungsprozesse dann auch noch – wie es die DSGVO eigentlich vorschreibt – in einem sog. “Verarbeitungsverzeichnis dokumentiert hat, kann man  gleichzeitig auch noch    bevorstehenden Prüfungen des eigenen Unternehmens durch die zuständigen Aufsichtsbehörden gelassen entgegensehen.


Wenn es keine Alternative zu einem US-Anbieter geben sollte, macht es aus unternehmerischer Sicht auch Sinn, diese offene Flanke zu kennen und das damit zusammenhängende unternehmerische Risiko einordnen zu können.

Ihr habt noch Fragen an Marcus oder Marcus? 🤔


Schreibt uns gerne in den Kommentaren!

Picture of Johanna

Johanna

Mehr aktuelle Beiträge rund um WordPress & Co.:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert