Bye bye Privacy Shield – Zum Gamechanger-Urteil des EuGH

Privacy Shield. Aus und vorbei. Plötzlich alles anders - und ohne Schonfrist. Das Urteil des EuGH zu Schrems-II und dem EU-US Privacy Shield bringt das Thema EU-Datenschutz zurück in die erste Reihe.

Privacy Shield. Aus und vorbei. Plötzlich alles anders – und ohne Schonfrist. Das Urteil des EuGH zu Schrems-II und dem EU-US Privacy Shield bringt das Thema EU-Datenschutz zurück in die erste Reihe.

Die Einen jubeln, die Anderen ächzen: Geheimdiensten den Stecker gezogen

Es war ein langer Weg für die NGO NOYB, allen voran Max Schrems. Das EU-US Privacy Shield regelte lange Zeit Datentransfers zwischen der EU und den USA in Form einer informellen Absprache. Ausgehandelt zwischen 2015 und 2016, besteht es primär aus einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung und einem Angemessenheitsbeschluss der EU-Kommission. Konkret ging es um die Feststellung, dass die Vorgaben des Datenschutzschilds dem Datenschutzniveau der Europäischen Union entsprechen. Dies wurde am 16. Juli 2020 vom Europäischen Gerichtshof für nichtig erklärt – und das per se vollkommen zurecht: Denn die umfassenden Rechte, welche sich US-amerikanische Behörden und Geheimdienste eingeräumt hatten, wurden von vielen ohne Übertreibung als Schnüffelei bezeichnet.

Grundsätzlich geht es – ganz gleich ob bei der EU-DSGVO oder dem Privacy Shield – immer um den Schutz personenbezogener Daten, in diesem Fall um solche, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Doch jetzt sind nicht nur diejenigen, welche personenbezogene Daten in die USA transferieren oder dort im Auftrag verarbeiten lassen hellwach, sondern alle Kunden von Cloud Services, welche nicht ausschliesslich auf Computing im EU Wirtschaftsraum setzen. Ab jetzt wird es spannend.

Meine AWS Instanz läuft in Frankfurt, wo ist das Problem?

Nicht erst seit der Diskussion um Privacy Shield achten Unternehmen und Großkonzerne stark darauf, wo sie ihre Daten speichern und ihre virtuellen Server betreiben. Auch die großen Anbieter wie Amazon, Microsoft und Google haben Interesse daran, als „Datenschutzfreundlich“ zu gelten und sich vorbildlich an Gesetze zu halten. Besonders im Zuge der EU-DSGVO kamen somit umfassende Privacy Controls zum Tragen, nach welchen die Kunden den Betrieb ihres ausgelagerten Computings entsprechend territorial abgrenzen konnten. So wundert es nicht, dass die erste Reaktion vieler Verantwortlicher in Richtung „bei uns läuft alles auf AWS, aber in Frankfurt“ ausfiel – ganz gleich ob IT-Verantwortlicher oder IT-Dienstleister. Ab da wurde es kompliziert.

Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) regelt per amerikanischem Gesetz den Zugriff von US-Behörden auf Daten im Internet. Schon vom Wortlaut merkt man: Das ist nichts, was dem europäischen Datenschutz entspricht. Doch es geht weiter: Das FISA (Foreign Intelligence Surveillance Act) ist ein Gesetz, welches die Auslandsaufklärung und Spionageabwehr der Vereinigten Staaten regelt. Wer jetzt an den NSA Skandal denkt und Gänsehaut bekommt, liegt richtig: US Behörden haben grundsätzlich Befugnisse, die sich über amerikanische Landesgrenzen erstrecken und mit einer EU-Verordung wie der DSGVO schlichtweg inkompatibel sind. Selbstverständlich hat der EuGH hier kein Mitspracherecht, wodurch die Entscheidung, das Privacy Shield für ungültig zu erklären, einseitig getroffen wurde und US-amerikanische Cloud-Anbieter aus eigener Perspektive eher eine Änderung für ihre Kunden in Europa als für sich selbst erkennen. Wir, die in der EU leben, arbeiten oder ein Unternehmen verantworten, schauen nun etwas unsicher auf die Entscheidung, welche vor allem keine Übergangsfrist vorsieht: Der Handlungsbedarf besteht sofort, für alle, jetzt.

Bitte bleiben Sie ruhig, Ihnen kann nichts passieren. Ehrlich. Wirklich?

Der EuGH hat jedoch nicht nur das Privacy Shield gekippt, sondern vor allem die EU-Standardvertragsklauseln als gültig bestätigt. US-Unternehmen, welche sich auf EU-Datenschutzrecht stützen, wären also fein raus. Eigentlich – denn während das Thema zunächst danach aussah, als müssten die US-Unternehmen nun einfach nur ihre AGBs anpassen, kann ein solches Unternehmen natürlich nicht die eigenen, in den USA geltenden Gesetze wie CLOUD Act und FISA negieren, weil der EuGH das so will. Eine echte Zwickmühle, die ein Twitter-User vor ein paar Tagen treffend mit „Der EuGH hat das Internet abgeschaltet“ bezeichnete.

Derweil gibt es wenig Licht im Dunkel. Erste Anbieter von Services auf Basis US-amerikanischer Anbieter verweisen auf die beschwichtigenden Formulierungen der Anbieter, welche sich wie folgt lesen: „Wir haben die EU-Standardklauseln im Vertrag, Sie als Kunde können festlegen wo die Instanzen betrieben werden. Sie können die Services wie gehabt verwenden“. Es lohnt sich wie so oft auch hier, tiefer einzusteigen. Dabei muss man kein Jurist sein oder stundenlang suchen – allein die Liste der Subunternehmer vieler Cloud-Anbieter ist international, die Befugnisse zum Eingriff in laufende Services bereits zur Sicherstellung der Verfügbarkeit gemäß AGB gestattet. Im Besonderen fällt jedoch auf, dass immer wieder Sätze fallen, welche klar aussagen: „Wir greifen auf Ihre Daten nicht zu, ausser eine Behörde ordnet es an“. CLOUD Act, FISA, das sind sie wieder. Wer daher jetzt noch glaubt, dass alles gut ist, bewegt sich auf dünnem Eis.

Ruhe bewahren ja, Abwarten nein: Was jetzt zu tun ist.

Schritt 1: Services identifizieren

Welche Services, die nicht allen im EU-Wirtschaftsraum laufen, betreiben Sie und auf welchem Stand sind die Verträge?

Jetzt gilt es, den Impact der EuGH Entscheidung für das eigene Unternehmen zu bewerten. Welche Anbieter und welche Services haben Sie im Einsatz, was ist deren Reaktion auf den Fall von Privacy Shield? Was steht in den Verträgen, welche Berücksichtigung finden EU-DSGVO, welche Subunternehmer sind gelistet? Gibt es Möglichkeiten, die Anbieter zu wechseln oder territoriale Abgrenzungen zu vereinbaren?

Schritt 2: Daten und Informationen identifizieren

Welche Daten verarbeiten Sie wo, warum und wie? Gibt es Potential in unserer Informationspolitik?

Ihr Verarbeitungsverzeichnis sollten Sie seit Inkrafttreten der EU-DSGVO angelegt und regelmäßig gepflegt haben. Dort steht idealerweise auch, welche personenbezogenen Daten Sie verarbeiten, welche Gründe Sie dafür haben und wie sie es mit welchen Tools und Anbietern tun. Gleichzeitig sollten Datenschutzhinweise in Verträgen, auf Webseiten und in AGBs darauf verweisen und so für proaktive Transparenz für Kunden und Geschäftspartner sorgen.

Schritt 3: Risiko bestimmen

Wie reagieren die Anbieter und wie hoch ist Ihr Risikoappetit?

Wahrscheinlich haben fast alle Anbieter aktuell volle Mailboxen mit tausenden Anfragen besorgter Kunden. Demnach ist abzusehen, dass trotz der fehlenden Übergangsfrist keine sofortigen, individuellen Statements, Vertragsanpassungen oder Vereinbarungen möglich sind. Es gilt, was eigentlich immer trägt: Eine Risikoanalyse, ein Abschätzen und Einschätzen der Möglichkeiten sowie das Umsetzen rasche Lösungen wie Eingrenzen von Cloud Services auf geographische Zonen, das Verlagern von Workloads oder das Wechseln von Anbietern gemäss einem vorhandenen Business Resilience Plan. Sie haben keinen? Jetzt haben Sie den perfekten Grund gefunden, einen solchen anzulegen.

Abschliessend heisst es, vor allem zu dokumentieren. Für den Fall, dass es zu rechtlichen Problemen kommen sollte, gilt das, was ich bezeichnender Weise auf einem Seminar in den USA gelernt habe: Fragen Sie sich, was ein Richter von Ihnen wissen wollen würde, sollte es zu einem Verfahren aufgrund eines Datenschutzvorfalls oder Nutzung eines nun nicht mehr legalen Cloud-Providers kommen. Hier gilt das Angemessenheitsprinzip, das strukturierte Analysieren der eigenen Situation sowie das Umsetzen zumutbarer Maßnahmen als goldener Weg.

Philipp Schneidenbach ist Experte auf den Gebieten Enterprise Architecture, Governance, Risk und Compliance. In seiner derzeitigen Position bei Materna vereint er die Erfahrung aus mehr als 25 Jahren Beratung und Linienverantwortung in verschiedenen Industriezweigen und Märkten. Als Autor, Researcher und Speaker engagiert er sich unter anderem in Organisationen und Berufsverbänden wie der IEEE, ISACA und MoreThanDigital.

Die Kommentarfunktion ist geschlossen.

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More