Privacy Shield: Deutsche Wirtschaft holt Daten zurück

Das EuGH-Urteil zum Privacy Shield schickt den Mittelstand auf eine „Made in Germany“-Reise

[datensicherheit.de, 20.07.2020] „Die deutsche Wirtschaft muss ihre Daten jetzt zurückholen!“, so der Appell des Bremer Datenschutzexperten Andres Dickehut, Geschäftsführer der Consultix GmbH und Betreiber des Hochsicherheitsrechenzentrums im ehemaligen „Atomschutzbunker“ – Rechtsabteilungen und Datenschutzbeauftragte deutscher Unternehmen müssten prompt handeln, um Konsequenzen zu ziehen und Bußgelder nach DSGVO abzuwenden.

Foto: Consultix GmbH

Andres Dickehut: Rechtsabteilungen und Datenschutzbeauftragte müssen prompt handeln!

Aus für Privacy Shield als klares Zeichen gegen Massenüberwachung und „Daten-Schlendrian“

„Es war überfällig“, betont Dickehut: Mit dem Urteil zum Aus für das nicht praktikable transatlantische Datenschutzschild habe der Europäische Gerichtshof (EuGH) ein klares Zeichen gegen Massenüberwachung und „Daten-Schlendrian“ gesetzt.
„Datenschutzexperten sehen sich bestätigt, doch in der Wirtschaft treiben Ratlosigkeit und Panik an die Oberfläche. Wenn die Standardverträge mit den internationalen Cloud- und Service-Anbietern wie Microsoft, Amazon, Google und Zoom in puncto Sicherheit eine Farce darstellen, kann ich es als Unternehmer dann verantworten, personenbezogene Daten und Unternehmensdaten über den großen Teich zu schicken?“, so Dickehut.

Schluss mit Pseudo-Schutz Privacy Shield und Safe Harbour

Spätestens seit die Vorgängervariante – „Safe Harbour“ – scheiterte, sei allen datenschutzaffinen Branchenteilnehmern der IT-Wirtschaft klargeworden, dass die marktbeherrschende Position US-amerikanischer Anbieter von Cloud-Dienstleistungen „Magenschmerzen und Sicherheitslecks“ mit sich bringe.
US-amerikanische Clouds seien nicht sicher und die Übertragung persönlicher Daten von EU-Ländern in die USA in vielen Fällen illegal. Zwar habe das „Privacy Shield“ den Schutz personenbezogener Daten von EU-Bürgern garantieren sollen, aber der „durch NSA, FBI und Co. getriebene Informationshunger“ habe jedes Sicherheitsversprechen ad absurdum geführt.

Trotz Privacy Shield waren US-Unternehmen zur Datenherausgabe verpflichtet

US-amerikanische Unternehmen nebst ihrer EU-Tochterunternehmen seien in den USA schließlich verpflichtet, Daten herauszugeben. Die Tatsache, dass dem „Datenstaubsauger“ der „Stecker gezogen“ wurde, gehe mit einem Berg an offenen Fragen und Aufgaben einher, denen sich Behörden und Unternehmen ab sofort stellen müssten.
Auch wenn internationaler Datenverkehr nach wie vor möglich bleibe, müssten Kontrollinstanzen scharf gestellt und Schutzmaßnahmen verstärkt werden. Dickehut: „Aber durch wen, bitte? Und über welche Entscheidungspfade führt der Weg zu Datenschutz und Datensicherheit, wie sie der EuGH verlangt?“

Bußgelder drohen, wenn Datentransfer weiter auf Basis vom Privacy Shield erfolgt

Das Urteil habe gravierenden Folgen für datenverarbeitende Service-Anbieter wie Facebook, Apple, Salesforce und Adobe. „Übertragen diese ,Dickschiffe‘ ihre Daten weiter auf Basis des ,Privacy Shield‘, winkt für alle Nutzer der Bußgeldkatalog nach DSGVO, auch für die Geschäftsführung“, warnt Dickehut.
Da würden auch keine EU-Standardverträge helfen, „denn ihnen wurde buchstäblich der Boden unter den Füßen weggezogen“. Datenschutzbehörden und Branchenverbände sollten sich europaweit engmaschig austauschen und auf einheitliche Regelungen bei Datenverstößen einigen.

Daten-Hosting und Technologie „Made in Germany“ als Wettbewerbsvorteil nach EuGH-Urteil zum Privacy Shield

Nicht umsonst sei es deutschen Bundesbehörden schon seit einiger Zeit untersagt, bestimmte Dienste von US-Anbietern zu nutzen. Sie setzten auf in Deutschland gehostete Alternativen wie z.B. „Matrix Messenger“ anstatt „WhatsApp“. Doch das könne nur ein Anfang sein: Alle Unternehmen, die aktuell Datentransfer auf Basis des „Privacy Shield“ mit Cloud-Anbietern betreiben, müssten ihre Marschrichtung ändern.
Es sei der Zeitpunkt gekommen, an dem Daten-Hosting und Technologie „Made in Germany“ als Wettbewerbsvorteil erkannt und umgesetzt werden müssten. „Dafür stehen deutsche Anbieter parat, die Datenschutz beherrschen und Lösungen wie Cloud, ,Jitsi Meet‘, Marketing-Cloud-Plattformen und datenschutzkonforme Managed-Services aus und in Deutschland anbieten“, unterstreicht Dickehut.

Privacy Shield ungültig – aber DSGVO unbedingt zu beachten

Geschäftsführer deutscher Unternehmen sollten umgehend die Verträge mit externen Dienstleistern prüfen. „Sind AV-Verträge vorhanden? Weisen sie den Ort der Datenverarbeitung außerhalb der EU auf, ergibt eine interne Prüfung mit der Rechtsabteilung und dem Datenschutzbeauftragten Sinn.“ Hierbei gelte es zu klären, ob Verstöße gegen die DSGVO vorliegen.
In jedem Fall sollten Unternehmen ihre Kunden über die AGB‘ und bei der Erfassung personenbezogenen Daten darauf hinweisen, dass ihre Daten außerhalb der EU verarbeitet werden. „Wie immer sollten Wirtschaftsbetriebe auch im Hinblick auf das Auskunftsrecht gemäß DSGVO maximale Transparenz an den Tag legen. Es geht nicht nur darum, was über eine Person gespeichert ist, sondern auch wo diese Informationen gespeichert werden“, stellt Dickehut klar.

Weitere Informationen zum Thema:

datensicherheit.de, 18.07.2020
Privacy Shield: Ungültigkeit als Vorstoß für mehr Datenschutz / Stärkung für den Datenschutz Europas – Schutz der Privatsphäre und sicherer kommerzieller Datenaustausch

datensicherheit.de, 18.07.2020
Privacy Shield: Tipps für Unternehmen nach EuGH-Urteil

datensicherheit.de, 17.07.2020
BlnBDI fordert digitale Eigenständigkeit für Europa / Nach „Schrems II“ drängt die BlnBDI, Maja Smoltczyk, datenverarbeitende Stellen in Berlin, die in den USA gespeicherte personenbezogene Daten zu verlagern

datensicherheit.de, 16.07.2020
EuGH-Entscheidung: Privacy Shield suspendiert