Der Europäische Gerichtshof (EuGH) hat das EU-US Privacy Shield mit sofortiger Wirkung für ungültig erklärt, aber was bedeutet diese Entscheidung für Unternehmen? [...]
Die COMPUTERWELT hat zum Gerichtsentscheid vergangene Woche schon berichtet und jetzt dazu Vertreter von UBIT und VÖSI befragt. Im wesentlichen handelt es sich ja um einen Rechtsstreit zwischen Max Schrems (noyb) und Facebook, der in einer ersten Reaktion vergangene Woche meinte: „Ich bin sehr glücklich über das Urteil. Unsere Argumente wurden bestätigt. Das ist ein totaler Schlag für die irische DPC (die irische Datenschutzbehörde) und Facebook. Es steht nun fest, dass die USA ihre Überwachungsgesetze grundlegend ändern müssen, wenn US-Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollen.“
Jegliche Weiterleitung von personenbezogenen Daten in die USA ist im Prinzip betroffen bzw muss jetzt geprüft werden. Verwendet ein österreichisches Unternehmen zB Webtracking (zB „Gefällt mir“-Button bei Facebook), wickelt E-Mail-Accounts über die USA ab, nutzt Cloud-Lösungen mit Speicherung der Daten in den USA oder lagert schlichtweg diverse Datenverarbeitungsprozesse an Unternehmen mit Sitz in den USA aus, könnte das Unternehmen betroffen sein. Allerdings stützt sich nicht jeder Datenverkehr mit den USA auf das Privacy Shield.
Prüfen, welche digitalen US-Dienste genutzt werden
Betroffene Unternehmen sollten jetzt jedenfalls prüfen, welche digitalen Dienste (Cloud, Office-Lösungen, Social Media Plattformen, Social PlugIns, etc) sie in Anspruch nehmen und ob hier ein Datenaustausch mit den USA stattfindet, empfiehlt die Fachgruppe UBIT auf der WKÖ Website. Grundsätzlich sollte das bereits mit dem 25. Mai 2018 (Geltung der DSGVO) durchgeführt worden sein, das heißt, es sollte auch im Verarbeitungsverzeichnis des Unternehmens aufscheinen.
„Wenn Unternehmen Datenverkehr mit den USA haben, sollte geprüft werden, ob hierfür bisher das Privacy Shield herangezogen wurde. Wenn es nicht herangezogen wurde, besteht derzeit noch kein Änderungsbedarf“, betont UBIT-Datenschutz-Expertin Ursula Illibauer.
Wenn es allerdings die Grundlage für den Transfer ist, muss geklärt werden, ob eine andere Grundlage für den Datenverkehr herangezogen werden könnte (z.B. eine individuelle ausdrückliche Einwilligung, alle weiteren Möglichkeiten finden sich hier: EU-Datenschutz-Grundverordnung (DSGVO): Internationaler Datenverkehr). Werden Auftragsverarbeiter im Rahmen der genutzten Dienste herangezogen (zB Cloudanbieter), hat vorrangig dieser den rechtskonformen Zustand herzustellen und zu prüfen, wie eine Datenübermittlung stattfinden kann.
„Diensteanbieter werden diese Prüfung voraussichtlich rasch durchführen und die erforderlichen Änderungen schnell umsetzen. Als Frage bleibt aber, ob sich diese auf die Standardvertragsklauseln stützen werden und/oder ob die Verträge umgeschrieben werden müssen, und die Nutzungsbedingungen dann angepasst werden müssen“, erklärt Illibauer.
Eines ist naheligend: Die nationalen Aufsichtsbehörden werden das EuGH-Urteil auswerten und darauf aufbauend Empfehlungen veröffentlichen. „Zu erwarten ist, dass sie den Unternehmen eine gewisse Übergangszeit einräumen werden, ihre Datenverarbeitungen anzupassen oder umzustellen. Bis dahin sollten Unternehmen aber nicht untätig bleiben, sondern sie jetzt prüfen und sich einige Fragen stellen“, rät der Berliner auf IT-Recht spezialisierte Anwalt Nikolaus Bertermann. Etwa so: Welche Daten übermitteln wir in die USA? Sind diese Daten unternehmenskritisch? Und wie schnell können wir reagieren, wenn die Behörden doch kurzfristig den Datentransfer verbieten?
VÖSI Vorschlag für Einzelpersonen und ihre Daten
Die Entscheidung des EuGH betrifft aber natürlich nicht nur Unternehmen, sondern jeden Internet-User, der mit den USA zu tun hat, und da eröffnet sich gleich ein großer Problemkreis, wie Peter Lieber, Präsident des Verbands Österreichischer Software Industrie (VÖSI), erklärt: „Die spannende Meta-Frage hinter dem: „Dürfen US-Firmen Daten europäischer Nutzer in die USA importieren?“ – ist eigentlich: Wem gehören meine personenbezogenen Daten eigentlich? Oder im Zeitalter von AI – wem gehören die automatisiert interpretierten Daten über mich? Im wesentlichen kann man das so sehen: Ist ein Internet-Service kostenfrei, dann wird mit eben diesen personenbezogenen Daten und dazugehörigen Interpretationen bezahlt.“
Lieber hat aber auch einen Vorschlag dazu: „Alle Unternehmen, die solche „versteckten“ Geschäftsmodelle haben, müssen immer als Alternative ein Cost-Modell anbieten. Das würde bedeuten: ich möchte Facebook kostenpflichtig nutzen und dafür wird mir Werbung und manipulierter Content erspart, und ich darf so wie in den Anfangszeiten von Facebook wirklich alles sehen, was meine „Freunde“ posten.“ Die Alternative wäre, die Daten praktisch preiszugeben und dafür den kostenfreien, aber manipulierten Zugang zu Facebook zu erhalten. Bei dem kostenpflichtigen Modell sollte jeder auch bestimmen können, wo seine Informationen physisch abgelegt werden dürfen und wo nicht.“ Das gleiche Modell ließe sich dann sinngemäß auch für Youtube, Instagram, LinkedIn, Xing usw. anwenden, so Lieber.
Be the first to comment