Donnerstag, 23. Juli 2020

Fazit zum Expertentalk "Datentransfer in die USA": Das sind die neuen Spielregeln nach dem EuGH-Urteil vom 16. Juli 2020

Am heutigen Tag fand ein Expertentalk mit RA Achim Zimmermann und Joerg-Friedrich Gampper statt, in der die Folgen des EuGH-Urteils vom 16. Juli 2020, die den Datentransfer in die USA untersagt, thematisierte. Die Erkenntnisse aus diesem Webtalk.

Der EuGH: Jede Übermittlung von Daten in die USA gemäß des Privacy Shields ist unzulässig, wenn...


Prinzipiell hat der der EuGH jeden Datentransfer in die USA für unzulässig erklärt, weil die Datenschutzgesetze dort nicht dem europäischen Datenschutz entsprechen.
Im Einzelfall ist ein solcher Datentransfer durchaus zulässig, wenn der Partner die Konsequenzen für sich kennt.
Doch genau da fangen die Probleme an, denn als Nutzer von online-Dienstleistungen habe ich kaum die Möglichkeiten, die Natur der Datenübermittlung präzise zu recherchieren. Vielmehr bin ich darauf angewiesen, daß meine online-Anbieter mich informieren. Und genau hier fängt das Dilemma an. Damit kann ich kaum zuverlässig Einzelfalleinwilligungen einholen.

Fangen wir systematisch an, die Problemlage zu betrachten

Das angesprochene EuGH-Urteil untersagt grundsätzlich die Übermittlung von (eigentlich personenbzogenen) Daten in die USA, weil dort deutlich schlechtere Datenschutzregelungen gelten.
Als Nutzer von online-Dienstleistungen, sind gerade T.O.C.s (Trainer OrganisationsBerater Coaches) von diesem Urteil betroffen, denn
  1. viele amerikanische Online-Dienstleister betreiben Server in den USA und übermitteln die Daten dorthin.
  2. viele amerikanische Online-Dienstleister haben zwar europäische Strukturen seit dem Inkrafttreten der EuDSGVO, doch bei der Übermittlung von Daten werden Schleifen über die USA eingelegt.
  3. ein Mutterkonzern in den USA kann möglicherweise gezwungen werden, Daten von Europäern in die USA zu übermitteln.

"Können solche Datentransfers nicht erlaubt werden?"

Natürlich können zwei Vertragspartner eine Einzelfalleinwilligung, die den Datentransfer in die USA erlaubt abschließen, doch sie bedingt eine detaillierte Erläuterung.
Ähnlich wäre eine Erlaubnis über die Zustimmung zu den AGB's (Allgemeinen Geschäftsbedingungen) möglich, doch auch hier müsste eine konkrete und detaillierte Erläuterung auf Anfrage möglich sein. Und genau das erscheint derzeit unmöglich. Daher rät der Experte von solchen vertraglichen Konstruktionen ab.

Juristisch sicher erscheinen derzeit nur rein europäische Lösungen

Für die Nutzer von online-Dienstleistungen für Meetings, Telephonate, Datenübermittlung und Datenspeicherung erscheint es wichtig, eine rein europäische Lösung zu suchen. Das betrifft vor allem Alternativen zu
  • Zoom
  • Adobe
  • Skype
  • WhatsApp
  • MailChimp
  • Dropbox und ähnlichen Anbietern.

Die Angebotsvarianten prüfen, z.B. bei Zoom

Dringend angeraten scheint, bei Meetingdiensten, sich die Angebotsvarianten anzuschauen. Bei Zoom z.B. gäbe es zwei Varianten, die Meeting-Dienstleistung, die keine Daten speichere und die Web-Sem-inar-Dienstleistung, die Speicherungen beinhalte. Letztere sei damit nicht länger empfehlenswert.

Spezialthema Cloudanwendungen

Auch für Cloud-Anwendungen sei es empfehlenswert, sich den Speicherort anzuschauen. Häufig seien diese auswählbar, doch zusätzlich scheine es angeraten, sich vom Anbieter zusichern zu lassen, daß die Datenübermittlung nicht über die USA erfolge.

Telephonieren? 

Traditionell über Festnetz oder Handy erscheint dem Experten ungefährlich, doch auch hier rät er von der Nutzung amerikanischer Dienstleister ab.
Auch eine End-zu-End-Verschlüsselung kann eine Datenübermittlung in unbekanntem Umfang eben nicht verhindern. Welche gesetzlichen Regelungen können oder werden das Handeln der Anbieter beeinflussen? Ist es garantiert, daß Daten über sichere Leitungen erfolgen, bei denen ein Abschöpfen unmöglich sei?

Datenbackups prüfen und ggf. händisch durchführen

Daher empfielt es sich , bei automatisierten Datenbackups von Handyanbietern auf die Konditionen zu achten und sie im Zweifel lieber abzuschalten.
Als Alternative zu Cloudspeicherungen ist auch eine eigene NAS, also eine internetfähige Festplatte, die über den eigenen Router bespielt wird, interessant. Das ist nicht immer ganz so komfortabel, aber dafür datenschutzkonformer, doch auch hier sollte sich der Anwender die Nutzungen anschauen. Manche Daten werden über einen zentralen Anbieterserver geschleust. Das ist datenschutzrechtlich wieder heikel.

"Das Strafgesetzbuch ist eine Preisliste"

anwortete der Zimmermann auf die Frage eines Teilnehmers, ob man die Folgen des EuGH-Urteils nicht ignorieren könne, schließlich schwimme man ja in einer großen Gruppe. Der Experte weiter: Das Abmahnrisiko bestehe.
Dem widersprechend halten viele das Risiko erwischt zu werden, für eher gering, insbesondere weil die befürchtete große Abmahnwelle nach dem Inkrafttenten der EuDSGVO im Mai 2018 ausblieb.
Risikofreudige können die Rechtslage ignorieren und sich für ein Datenschutzroulette entscheiden. Doch, so der Experte, keiner könne sicher sein. Ein Blick in das Strafgesetzbuch zeige, welche Kosten im Falle des Falles zu erwarten seien.

"Ab sofort"

lautete die Antwort des Rechtsanwaltes auf die Frage nach der Gültigkeit und der Notwendigkeit der Umwandlung in nationales Recht. Demzufolge ist eine Umwandlung in nationales Recht unnötig. Das Urteil ist bereits jetzt gültig, nachdem das Privacy Shield-Abkommen mit den USA für unzulässig erklärt wurde. Zaudern und zögern ist für T.O.C.s daher nicht empfehlenswert.

Und wie ist es mit Websites, Internetpräsenzen und online-Shops?

Sie sollten daraufhin geprüft werden, wer und wie v.a. Cookies gesetzt und ggf. Daten abgegriffen würden. Je nach dem seien Konsequenzen nötig.

Autor: C.G.






Keine Kommentare:

Kommentar posten