Im Sommer 2020 wurde das Privacy Shield-Abkommen durch den Europäischen Gerichtshof gekippt. Mit dem Schrems-II-Urteil war fortan klar: Die DSGVO ist mit dem Datendeal zwischen EU und USA nicht vereinbar.
Doch was bedeutet das?
Die Speicherung personenbezogener Daten von deutschen Usern auf US-amerikanischen Servern ist untersagt – das ist klar. Doch auch, wenn die Server eines US-amerikanischen Unternehmens in der EU stehen, ist damit die Lage nicht entspannter. Denn: Die US-Behörden haben immer noch die Möglichkeit, Zugriff auf eben diese Daten zu verlangen. So beinahe geschehen in 2014, als Microsoft Daten an die US-Regierung herausgeben sollte, die sich auf irischen Servern befanden. Das Unternehmen wehrte sich allerdings und bekam in zweiter Instanz durch den US Surpreme Court Recht.
Ein neues Abkommen, das das Privacy Shield ablöst, ist bisher nicht in Sicht. Doch was wurde in dem Abkommen überhaupt geregelt?
EU-US Privacy Shield Abkommen & CLOUD Act
Das EU-US Privacy Shield Abkommen galt vom 12. Juli 2016 bis zum 16. Juli 2020. Die Idee dahinter: die personenbezogenen Daten europäischer Bürgerinnen und Bürger schützen, die nach einem Transfer in die USA von dort ansässigen Unternehmen gespeichert und verarbeitet werden. Das Abkommen ermöglichte weiterhin die Speicherung europäischer Daten in den USA, aber unter der Bedingung, dass das Datenschutzniveau dem der Europäischen Union entspricht.
Kompliziert wurde es durch den CLOUD Act. Das US-amerikanische Gesetz aus 2018 sieht den Zugriff auf personenbezogene Daten von US-Bürgerinnen und -Bürgern vor, die in der EU gespeichert sind. Zugleich wird auch der Zugriff auf Daten von EU-Bürgerinnen und -Bürgern in den USA gestattet. US-Unternehmen stehen somit im Ernstfall vor der Entscheidung, entweder gegen die DSGVO oder den CLOUD Act zu verstoßen.
Wie verhalten Sie sich nun korrekt?
Die DSGVO kann also mit dem CLOUD Act und dem EU-US Privacy Shield Abkommen kollidieren. Wer Dienste von US-amerikanischen Unternehmen in Anspruch nimmt – unabhängig davon, ob sich deren Server in der EU befinden – agiert in einer gefährlichen Grauzone.
Was kann man also tun? Tatsächlich bleibt nur eine Möglichkeit: Europäische Unternehmen aller Größen sollten ausschließlich digitale Services von Dienstleistern nutzen, deren Gesellschaften und Server sich in der EU befinden.
Übrigens: Wir von IT-Seal legen größten Wert auf die Einhaltung der DSGVO. Unser Unternehmen befindet sich in Deutschland. Die Speicherung und Verarbeitung personenbezogener Daten findet ausschließlich auf europäischen Servern statt.
Wollen Sie mehr erfahren? Nehmen Sie Kontakt zu uns auf.
