Regel Nummer 1 für alle, die im Bereich des Datenschutzes tätig sind: Gewöhnen Sie sich an die Ungewissheit.
Diese Regel gilt für das bahnbrechende Urteil des Gerichtshofs der Europäischen Union (EuGH) von letzter Woche in der Rechtssache Data Protection Commissioner vs. Facebook Ireland Limited, Maximilian Schrems ("Schrems II").
Was bedeutet Schrems II für den Datenschutz?
In den letzten zehn Jahren gab es immer wieder Versuche, US-Unternehmen zu bestätigen, dass sie ein "angemessenes Schutzniveau" für alle EU-Daten aufrechterhalten. Die Website EU-US-Datenschutzschild wurde eingeführt, um speziell den Datenschutz für personenbezogene Daten zu regeln, die aus der Europäischen Union in die Vereinigten Staaten übermittelt werden. Über 5000 Unternehmen nutzten bald die Datenschutz-Schutzschild bei der Übermittlung personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten als wichtigstes rechtliches Instrument.
Das Grundsatzurteil erklärt das EU-Datenschutzschild für ungültigund bringt die Welt des Datenschutzes in Aufruhr. Insbesondere wird die Rechtmäßigkeit der Übermittlung von Daten von EU-Bürgern an die Vereinigten Staaten in Frage gestellt - und die Frage, wie personenbezogene Daten grenzüberschreitend weitergegeben werden sollten.
Wo das Privacy Shield versagt hat
Der Gerichtshof stellte fest, dass das US-Recht keine wirksamen Beschränkungen für den Zugang zu nachrichtendienstlichen Tätigkeiten vorsieht und keine wirksamen Rechtsbehelfe vorsieht, auf die EU-Bürger zurückgreifen können, wenn ihre Daten an die USA übermittelt wurden.
Das Privacy Shield sieht zwar eine Ombudsperson vor, die bei Mängeln in der Datenübermittlung Abhilfe schaffen soll, doch ist diese nicht unabhängig genug von den US-Rechtsvorschriften, um als ausreichender Mechanismus für individuelle Rechtsbehelfe angesehen zu werden - und das Privacy Shield selbst sieht keine Beschränkungen der Befugnisse der US-Geheimdienste vor.
Das Handelsministerium hat erklärt, dass es das Privacy-Shield-Programm weiterhin verwalten wird, aber in Wirklichkeit wird das Programm ab sofort als ein unwirksamer Datenschutzmechanismus für EU-Datenübermittlungen.
Wie Omer Tene, Chief Knowledge Officer der International Association of Privacy Professionals witzelte - Die Situation gleicht im Grunde dem Versuch, einen runden Pflock in ein eckiges Loch zu stecken, denn "die in der US-Verfassung verankerten Anforderungen an die Klagebefugnis lassen sich nicht mit der Anfechtung durch Einzelpersonen vereinbaren, die nie darüber informiert werden, dass sie von der Regierung überwacht werden. Und die Ernennungsklausel der U.S.-Verfassung eine völlig unabhängige Ombudsperson, die den Anforderungen des EuGH genügt, nicht möglich ist".
Von den SCCs gerettet?
Schrems II zum Glück nicht für ungültig erklärt. per se Verwendung von Standardvertragsklauseln (SCCs) als Datenübertragungsmechanismus.
Der Gerichtshof sah jedoch vor, dass Unternehmen in Fällen, in denen SCC keinen Schutz gewährleisten können, auf "ergänzende Maßnahmen" oder "andere Klauseln und zusätzliche Garantien" zurückgreifen müssen. Der EuGH ließ unklar, welche Maßnahmen oder Sicherheitsvorkehrungen die Unternehmen jetzt treffen sollten.
Dr. Chris Kunner, Juraprofessor und Ko-Direktor des Brussels Privacy Hub, vermutet, was dies bedeuten könnte: "Der Preis für die Aufrechterhaltung der SCCs scheint darin zu bestehen, dass die für die Datenverarbeitung Verantwortlichen stärker in die Pflicht genommen werden, Maßnahmen zu ergreifen, wenn die Gesetzgebung des Importlandes einen über die EU-Standards hinausgehenden Zugang zu Daten ermöglicht."
Wer ist betroffen?
Letztlich sind alle Unternehmen jeder Größe und Branche betroffen, die EU-Daten verarbeiten. Dies wirkt sich auf die Art und Weise aus, in der personenbezogene Daten gesammelt werden, bewegt und gemeinsam genutzt über Länder und Grenzen hinweg, mit potenziellen Auswirkungen auf alle Branchen, von den sozialen Medien über den Einzelhandel bis hin zu Regierungsbehörden und überall dazwischen.
Was nun?
Viele warten auf offizielle Leitlinien des Europäischen Datenschutzausschusses (EDPB); andere werden mit ihren internen und externen Rechtsberatern darüber sprechen, auf welche rechtlichen Mechanismen sie sich in der Zwischenzeit stützen sollten.
In der Zwischenzeit können Organisationen bei der Betrachtung "zusätzlicher Schutzmaßnahmen" für SCCs aus der Datenperspektive einen proaktiven Ansatz zur Regelung der Übermittlung personenbezogener Daten verfolgen.
BigID unterstützt Unternehmen bei der Identifizierung, Verwaltung und Überwachung aller Aktivitäten mit personenbezogenen und sensiblen Daten - einschließlich grenzüberschreitender Datenübertragungen. Mit BigID können Unternehmen:
- Berichterstattung und Überwachung der gemeinsamen Nutzung von Daten durch Dritte
- Erkennen von grenzüberschreitenden Datenübertragungen, die nicht den Richtlinien entsprechen
- Markierung und Kennzeichnung von Daten für rechtliche Zwecke
- Beschriften Sie Datenattribute basierend auf Aufenthaltsort der Daten, die Gegenstandt für konzerninterne Transfers
Verstehen Ihrer Datenbestände - wie zum Beispiel Bindung des Wohnsitzes an eine Identität und wissen wobei die Daten gespeichert werden, ist ein guter Ausgangspunkt für Unternehmen, die wissen wollen, wie es nach dem Privacy Shield weitergeht.
Als US-Handelsminister hat Wilbur Ross erklärteWir hoffen, die negativen Folgen für die $7,1 Billionen schweren transatlantischen Wirtschaftsbeziehungen, die für unsere jeweiligen Bürger, Unternehmen und Regierungen so wichtig sind, begrenzen zu können. Datenflüsse sind nicht nur für Technologieunternehmen von entscheidender Bedeutung, sondern für Unternehmen jeder Größe und in jedem Sektor."