Beim dritten Fireside-Talk von Privacy Provided mit dem österreichischen Juristen und Datenschutz-Aktivisten Max Schrems ging es heute Vormittag um die Themenkomplexe Enterprise IT und Netzwerke. Fazit: Mit europäischen Anbietern arbeiten ist für Anwender oft die einfachste und kostengünstigste Lösung für DSGVO-Compliance.
Die Übertragung von personenbezogenen Daten aus Europa in die USA war in der Vergangenheit durch die bilateralen Absprachen Safe Harbor und später Privacy Shield datenschutzrechtlich möglich. Der Europäische Gerichtshof hat inzwischen aber beide Absprachen auf Betreiben von Max Schrems für ungültig erklärt, weil das Datenschutzniveau in den USA nicht mit dem in Europa vergleichbar sei. Seither haben viele europäische Firmen notgedrungen auf die sogenannten Standardvertragsklauseln zurückgegriffen, um einen Datentransfer zu rechtfertigen.
Standardvertragsklauseln: Es ist kompliziert
Laut Max Schrems sind diese SCC, auch die aktualisierten vom Juni 2021, allerdings deutlich komplizierter anzuwenden, weil im Prinzip jedes Mal eine Einzelfallbewertung vorzunehmen ist. Immerhin: Wenn das die Daten empfangende Unternehmen in den USA kein Electronic Communications Service Provider (Dienstleister für elektronische Kommunikation) ist, gibt es geringere Datenschutzprobleme. Beispiel aus einem der früheren Kamingespräche: Wenn der österreichische Stahlwerker Voest Daten zu einer US-Tochter überträgt, die dort ebenfalls nur Stahl kocht, dann steht die DSGVO dem nicht im Wege. Man müsse aber immer im Hinterkopf haben, ob in den USA nicht irgendwelche Subunternehmer involviert seien, die dann doch wieder in den Bereich Electronic Communications fallen.
Nicht immer ganz einfach zu beurteilen sei die Lage bei US-Anbietern mit geografisch verteilter Datenverarbeitung, wie sie etwa für Anwendungen in den Bereichen E-Mail, Security oder Content Delivery typisch ist. Hier stelle sich unter anderem die Frage, ob es sich dabei um eine notwendige (= unvermeidbare) Datenverarbeitung handelt, die von Artikel 49 DSGVO abgedeckt ist. Klar ist aber laut Max Schrems: Auch wenn US-Cloud-Anbieter eigene Data Center in Europa betreiben, schützt das die dort gespeicherten Daten nicht vor Zugriffen via FISA Act, denn dieses Gesetz hat keinerlei geografische Limitierung. Einzig Daten, an die auch der Anbieter selbst nicht herankommt, sind davor sicher – zum Beispiel ein verschlüsselt in der Cloud abgelegtes Backup, für das kein lokaler Zugriff auf die Schlüssel besteht.
Unterschiedliche Rechtsauffassungen
Insgesamt stehen sich beim Thema Datenschutz aus Sicht von Max Schrems das US-amerikanische und das europäische Recht diametral gegenüber. Beheben ließe sich das im Wesentlichen nur durch die Änderungen von Gesetzen. In der EU wäre das die Grundrechtecharta, bei der eine Umgestaltung ausgesprochen unwahrscheinlich erscheint. Da könne man sich mittelfristig schon eher Hoffnung auf eine Abschwächung der US-Überwachungsgesetze FISA und CLOUD Act machen (die im Übrigen auch einer Legitimierung von Industriespionage dienen könnten).
Dazu passt übrigens auch eine Bloomberg-Meldung von gestern: Der Microsoft-Topmanager und -jurist Brad Smith hat sich beklagt, dass geheime Vorladungen von US-Technologiekonzernen das Vertrauen europäischer Kunden zerstörten und damit das Geschäft erschwerten. In der vergangenen Woche hatten Medien berichtet, dass sowohl Apple als auch Microsoft in der Amtszeit von Donald Trump von Regierungsbehörden genötigt wurden, Daten von politischen Gegnern des Präsidenten herauszugeben – jeweils mit Stillschweigeauflagen inklusive Verbots, die Betroffenen zu informieren.
Allgemeine Verunsicherung
Auf die Frage, ob ein europäisches Unternehmen seine Datenschutzverpflichtungen an seinen US-Dienstleister weiterreichen und sich so schadlos halten könne, sagte Schrems, Versprechen von DSGVO-Konformität seien nur mit großem Aufwand überprüfbar – bisher habe das noch niemand durchgeprüft und durchgeklagt. Es gebe zum Teil auch schon entsprechende Haftpflichtversicherungen, diese seien aber in jedem Fall sehr teuer und noch keinesfalls als valide erwiesen. Bei sogenannten D&O-Versicherungen fürs Top-Management sollte man, ebenso wie bei vielen Rechtsschutzversicherungen, Datenschutzklauseln prüfen, da diese ausgenommen sein können (bei einigen Versicherungen bereits umgesetzt).
Eine Novelle der DSGVO hielte Max Schrems eigentlich für wünschenswert, unter anderem weil das aktuelle Regelwerk keinerlei Differenzierung nach Unternehmensgröße vorsehe. Schuld daran sei letztlich die Industrie selbst, weil bei der Entstehung nur große Unternehmen mit entsprechend großen Lobby-Abteilungen beteiligt waren. Und einen neuerlichen Lobbyauftrieb vergleichbar epischen Ausmaßes wolle in Brüssel definitiv niemand so bald wieder.
Dienstleister befragen
Zum Abschluss der drei Fireside-Talks von Privacy Provided rät Max Schrems Firmen, die nach dem Aus für den Privacy Shield verunsichert sind, ihr Geld nicht zur juristischen Beratungsindustrie zu tragen, sondern ihre Dienstleister lieber selbst zu befragen und auf den Prüfstand zu stellen – die wesentlichen Aspekte dazu finden Sie auf unserer Website, ebenso einen Fragebogen (PDF), mit dem Sie Ihre Dienstleister überprüfen können. Die einfachste und kostengünstigste Lösung sei in vielen Fällen, mit einem europäischen Dienstleister zu arbeiten, so Max Schrems in seinem Fazit.
Für alle, die gestern beim Fireside-Talk nicht mit dabei sein konnten, gibt es hier den vollständigen Mitschnitt: