Das EU-US Privacy Shield, das den Austausch personenbezogener Daten zwischen der EU und den USA legitimiert, ist für ungültig erklärt worden. Der Europäische Gerichtshof (EuGH) sah das Datenschutzniveau nach europäischen Maßstäben als nicht gesichert an. Die US-amerikanische Gesetzgebung hinkt den europäischen Datenschutz-Gesetzen in vielen Facetten hinterher. Für Unternehmen ist das seit Jahren ein Problem. Die jüngste Entscheidung des EuGH macht die Sache erneut komplizierter.
„Konkret bedeutet das Scheitern des Privacy Shields, dass eine rechtliche Grundlage für den Datentransfer von der EU in die USA weggefallen ist. Deshalb sollten EU-Unternehmen prüfen, auf welcher rechtlichen Grundlage ihre Daten transferiert werden, um im Sinne der DSGVO zu handeln und mögliche Bußgelder zu vermeiden“, erklärt Jens Bothe, Sicherheitsexperte bei der Otrs AG in Oberursel bei Frankfurt. Der Hersteller bietet Unternehmen jeglicher Größe Lösungen zum Prozess- und Kommunikations-Management an. Zu den Kunden zählen unter anderem Lufthansa, Airbus, IBM, Porsche, Siemens, BSI (Bundesamt für Sicherheit in der Informationstechnik), das Max-Planck-Institut oder Toyota.
Im Juli 2020 änderte sich das Datenschutz-Abkommen zwischen den USA und der Europäischen Union. Datenschutz-Bestimmungen, die im EU-US Privacy Shield verankert waren, wurden für ungültig erklärt. Nicht aufgrund von Bedenken gegen das Abkommen als solches, sondern weil US-Gesetze wie der ‚Foreign Intelligence Surveillance Act (FISA)‘ eine Massen-Überwachung gestatten und Europäer keine Klage-Berechtigung vor einigen Gerichten haben. Otrs empfiehlt die Einhaltung folgender Maßnahmen, um die Zusammenarbeit mit US-Dienstleistern weiterhin sicher zu gestalten:
(1) Prüfung der Rechtsgrundlage: Europäische Unternehmen, die mit US-Dienstleistern zusammenarbeiten, sollten bei diesen EU-Standardvertrags-Klauseln anfragen und abschließen, um eine rechtliche Grundlage für den Datentransfer zu haben. Das ist zum Beispiel auch schon notwendig, wenn ein Unternehmen Kommunikations-Systeme nutzt, deren Anbieter seinen Hauptsitz in den USA hat. Wenn personenbezogene Daten im Spiel sind, muss der Auftraggeber zudem einen AVV (Auftrags-Verarbeitungs-Vertrag) abschließen. Dieser ist zentraler Bestandteil der DSGVO und regelt die Rechte und Pflichten von Auftragnehmer und Auftraggeber.
(2) Technische und organisatorische Maßnahmen: Außerdem müssen zwischen beiden Unternehmen sogenannte TOMs (Technische organisatorische Maßnahmen) vorhanden sein und immer wieder kontrolliert werden. Die technische Seite umfasst Maßnahmen wie die Sicherung der Benutzerkonten, Passwort-Erzwingung oder Benutzer-Identifikation. Im organisatorischen Bereich zählen Schutzversuche, die durch Handlungs-Anweisung wie Besucher-Anmeldung oder Vier-Augen-Prinzip umgesetzt werden können, dazu.
(3) Ort der Daten-Speicherung: Bei der Auswahl von US-Dienstleistern ist es empfehlenswert, darauf zu achten, dass auch Europäische Datencenter zur Verfügung stehen, in denen die Daten gehostet werden. Somit ist ein Datentransfer in die USA möglicherweise gar nicht notwendig.
(4) Erstellung von einheitlichen Compliance-Regeln: Unternehmen sollten ebenfalls klare Compliance-Regeln definieren. Den Mitarbeitern sollte klar sein, dass sie von ihren Firmenrechnern nicht jedes System herunterladen und nutzen dürfen, sondern nur die, die im Einklang mit den Compliance-Regeln stehen.
