Der als Ersatz für das unwirksame "Safe Harbor"-Abkommens im Jahr 2015 ins Leben gerufene "Privacy Shield" wurde nun auch vom EuGH für ungültig erklärt. Das hat unmittelbare Auswirkungen auf alle, die personenbezogene Daten an Dienstleister übertragen, die Daten auf Rechenzentren speichern die im Geltungsbereich der amerikanischen Sicherheitsgesetze liegen.
Worum geht es?
Gerade Cloudlösungen (z.B. Google Drive, Dropbox, Apple) werden gerne genutzt um einerseits Daten bequem und einfach zwischen mehreren Personen auszutauschen, aber auch um eine unabhängige Datensicherung außer Haus zu haben. Solange es nicht um personenbezogene Daten geht, ist das auch weitgehend unkritisch und jederzeit erlaubt.
Aber personenbezogene Daten sind immer alle Daten, die eine Person mit einer Eigenschaft verknüpfbar machen. Wenn ein Brief, der eine Adresse enthält, an einen Cloudspeicher übermittelt wird, dann ist das ein Vorgang, der durch die DSGVO geschützt wird. Der Inhalt des Briefes bildet eine Eigenschaft, der der in der Adresse genannten Person zugeordnet werden kann. Genauso sind Daten personenbezogen, die in einem Adressbuch am Smartphone abgelegt sind, auch wenn das nur Namen und Telefonnummern sind. Hier sind die kritischen Punkte dann bei WhatsApp, Facebook-Messenger, Googlemail etc. gegeben.
Das Problem liegt darin, dass diese Firmen den US-amerikanischen Überwachungsgesetzen unterliegen. Und selbst wenn zwischen den Unternehmen und den Dateneigentümern eine sogenannte Standardvertragsvereinbarung besteht, die die Weitergabe der Daten an Dritte verbietet, so haben nach amerikanischen Recht die US-Überwachungsbehörden jederzeit Zugriff auf diese Daten.
Damit ist es nun verboten, personenbezogene Daten an Dienstleister oder Webservices zu übergeben, die der amerikanischen Sicherheitsgesetzgebung unterliegen.
Welche Konsequenzen hat das?
Zunächst einmal dürfen personenbezogene Daten nicht an Firmen oder Dienste wie Google, Facebook, Apple, Microsoft etc übergeben werden. Als Alternative bieten sich Cloudlösungen an, die der europäischen DSGVO unterliegen. Wir bieten Cloudlösungen, bei denen sichergestellt ist, dass Ihre Daten nur von Ihnen, oder auf Ihre Weisung hin verarbeitet werden. Sowohl reine Fileservices (ähnlich wie Dropbox) als auch virtuelle Netzwerke (ausgelagerte Server und Arbeitsplätze) und auch Nachrichtensysteme können Sie auf unseren Servern in Nürnberg nutzen. Staaliche Stellen haben sicher keinen Zugang und die Schutzmaßnahmen gegen Hacker oder Datenmanipulatoren sind alle dem Stand der Technik entsprechend.
Wie sieht die Zukunft aus?
Das liegt gewissermaßen in den Sternen. Es ist nicht absehbar, dass die amerikanischen Überwachungsgesetze geändert werden. Die betroffenen Großkonzerne (Google, Facebook, Microsoft, Godaddy...) müssten eigentlich unabhängige Tochterunternehmen in Europa gründen, die nicht amerikanischem Recht unterliegen. Diese Tochterfirmen könnten eine der DSGVO konforme Datenverarbeitung sicherstellen. Bisher ist aber nicht bekannt, dass Schritte in diese Richtung unternommen werden. Demzufolge bleibt die Rechtslage erst einmal auf absehbare Zeit so, wie sie ist. Solange kein Kläger aktiv wird, wird wohl auch keine Sanktion erfolgen. Man muss sich aber bewusst sein, dass die Nutzung amerikanischer Dienstleister gegen die DSGVO verstößt und Verstöße dagegen mit hohen Bußgeldern belegt sind.
Gibt es Alternativen zu Messagern (Facebook, WhatsApp?
Es gibt mehrere Alternativen, deren Verbreitung immer mehr zunimmt. Signal, Telegram und Threema sind Messager, die genauso komfortabel und mächtig sind wie der Marktführer. All denen ist aber gemeinsam, dass sie ungewünscht keine personenbezogenen Daten abziehen oder gar für eigene Zwecke weiterverwenden. Wir sind aus diesem Grund über all diese alternativen Kanäle erreichbar.