Datenschutzbehörden werden aktiv

Wer bislang dachte, das Ende des „Privacy Shield“ aussitzen zu können, sollte durch diese Meldung aufhorchen: Deutsche Datenschutzbehörden haben angekündigt, selbst aktiv zu werden. Unternehmen müssen sich demnach darauf einstellen, einen Fragenkatalog zugeschickt zu bekommen. Darin sollen sie erklären, auf welche US-Dienste sie setzen und vor allem auf welcher datenschutzrechtlichen Grundlage sie das tun. Fallen die Antworten nicht zufriedenstellend aus, haben die Behörden verschiedene Sanktionsmöglichkeiten – von förmlichen Anordnungen bis hin zu Bußgeldern.

Hintergrund

Im Juli jährt sich das Ende des „Privacy Shield“ zwischen der Europäischen Union und den USA zum ersten Mal. Der Europäische Gerichtshof (EuGH) hatte es für ungültig erklärt. Das bedeutet: Seit fast einem Jahr gibt es keine allgemeingültige Grundlage für EU-Unternehmen, um US-amerikanische Internetdienste für die Speicherung und Verarbeitung personenbezogener Daten einzusetzen. Betroffen sind Dienste aller Art – vom Cloudspeicher bis zum Videokonferenz-Angebot. Ähnlich gilt das für die Schweiz.

Was können Unternehmen jetzt tun?

Betroffene Unternehmen sollten sich spätestens jetzt damit auseinandersetzen, wie sie auf diese Lage reagieren. Der Datenschutzbeauftragte des Landes Baden-Württemberg hatte dazu Empfehlungen veröffentlicht.

• Die beste Möglichkeit ist es, Alternativen in Ländern zu suchen, die als datenschutzrechtlich unbedenklich gelten.
• Einige US-Dienste bieten die Option, Daten nur auf europäischen Servern zu speichern, doch dies reicht oft nicht aus.
• Standarddatenschutzklauseln sind eine mögliche Lösung, erfordern jedoch zusätzliche Schutzmaßnahmen wie Verschlüsselung.

Wie geht es weiter?

Die EU-Kommission arbeitet derzeit an neuen Klauseln, doch Datenschützer kritisieren diese als nicht weitreichend genug. Ein grundlegendes Problem bleibt bestehen: Die USA haben andere Vorstellungen von Datenschutz als viele europäische Nationen. Obwohl die neue US-Regierung Verhandlungsbereitschaft signalisiert hat, gibt es noch keine konkrete Lösung.

Die Lage in der Schweiz

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hatte festgestellt, dass auch die schweizerische Variante des Privacy Shield nicht den notwendigen Datenschutzstandards genügt. Unternehmen wird daher empfohlen, sich im Zweifel an den EDÖB zu wenden oder Rechtsberatung einzuholen.

Schlusswort

Es erscheint nicht fair, dass Unternehmen nun ausbaden müssen, was eigentlich die Politik zu verantworten hat. Datenschutzexperten fordern daher eine klarere Regelung auf internationaler Ebene, um die Unsicherheiten für Unternehmen zu beseitigen.