EU-U.S. Privacy Shield am Ende: eine Übersicht für Atlassian-Kunden

Der Europäische Gerichtshof hat am 16. Juli 2020 das EU-U.S. Privacy Shield-Abkommen, welches die Gleichwertigkeit des EU-Datenschutzes in den USA sicherstellen sollte, für ungültig erklärt. Wir beleuchten vor diesem Hintergrund das Thema und die Handlungs- resp. Deployment-Optionen für Atlassian-Kunden.

Der Europäische Gerichtshof hat am 16. Juli 2020 das EU-U.S. Privacy Shield-Abkommen, welches die Gleichwertigkeit des EU-Datenschutzes in den USA sicherstellen sollte, für ungültig erklärt. Wir beleuchten vor diesem Hintergrund das Thema und die Handlungs- resp. Deployment-Optionen für Atlassian-Kunden.

Gemäss der seit Mai 2018 in Kraft gesetzten Europäischen Datenschutz-Grundverordnung DSGVO, dürfen Personendaten von natürlichen Personen nicht beliebig in Drittstaaten verarbeitet werden. Falls Firmen die Verarbeitung (Einsicht, Weitergabe, Bearbeitung, Speicherung usw.) von Personendaten in Drittstaaten vornehmen möchten, sind sie verantwortlich dafür, dies im Einklang mit der DSGVO zu tun und einen äquivalenten Datenschutz im Drittstaat sicherzustellen. Bei Verstössen können gegenüber den Firmen Bussen verhängt und deren Management kann unter Umständen gar persönlich Haftbar gemacht werden. Weitere Informationen zur Europäischen Datenschutz-Grundverordnung befinden sich in unserer Artikelserie aus den Jahren 2017/2018.

Der einfachste Weg um dies in Drittstaaten sicherzustellen ist, sich auf einen Äquivalenzentscheid der EU Kommission abzustützen. Beispielsweise gilt der gesetzliche Datenschutz in der Schweiz als mit der EU gleichwertig. Da in den USA die Datenschutzgesetze nicht den gleichen Datenschutz sicherstellen, versuchten die EU und die USA bisher den Datenschutz derart sicherzustellen, dass US-Firmen sich freiwillig den höheren europäischen Standards unterwerfen. Zuerst wurden dafür die Safe Harbour Privacy Principles zwischen der EU und den USA vereinbart. Diese Rahmenvereinbarung wurde jedoch vom Europäischen Gerichtshof für ungültig erklärt, da sie eine blosse Compliance-Deklaration der US-Firmen voraussetzte und keinerlei Kontrollmechanismen vorgesehen waren. Als Nachfolgelösung dazu hat die EU mit den USA das EU-U.S. Privacy Shield Framework ausgehandelt, welches diesen Mangel behebt und den entsprechend partizipierenden US-Firmen wiederum einen gleichwertigen Datenschutz attestierte.

Bereits in unserer Artikelserie zur Einführung des Datenschutzes prognostizierten wir, dass auch das EU-U.S. Privacy Shield kurzlebig sein dürfte. Dies ist nun eingetreten. Der Europäische Gerichtshof hat am 16. Juli 2020 auch dieses Abkommen für ungültig erklärt. Verantwortlich dafür sind diesmal die US-Gesetzgebungen zur Massenüberwachung durch den Staat. Dabei handelt es sich gemäss Computerworld einerseits um den Foreign Intelligence Surveillance Act (FISA) mit deren Überwachungsprogrammen PRISM und UPSTREAM sowie die Executive Order 12333. Konkret weist PRISM die Anbieter von Internet-Diensten an, der NSA, dem FBI und der CIA, alle Mitteilungen betreffend bestimmten Personen zur Verfügung zu stellen. UPSTREAM weist Telekommunikationsprovider an, das Kopieren und Filtern des Internet-Traffics zu gestatten. Die Executive Order 12333 erlaubt der NSA den Zugang zu den Seekabeln im Atlantik, um Datentransfers dort abgreifen zu können. Auch der Schweizer Datenschutzbeauftragte prüft nun den Entscheid des EU Gerichtshofs und die Auswirkungen auf das analoge, noch gültige Swiss-US Privacy Shield.

Für Verarbeitungen in den USA kann dadurch nicht mehr auf einen Äquivalenzentscheid der EU Kommission abgestützt werden. Als wichtigste Alternative sind die sogenannten Standardvertragsklauseln vorgesehen, wie sie zum Beispiel auch linkyard zusätzlich zum Verweis auf den Äquivalenzentscheid ihren Kunden unterbreitet. Im Falle der USA besteht nun aber das Problem, dass private Verträge die erwähnten nationalen Gesetzgebungen auch nicht aushebeln können. Entsprechend dürfte mit den von den Gesetzen betroffenen US Firmen (Betreiber von Internetdiensten und Telekommunikationsanbieter) keine Lösung über Standardvertragsklauseln möglich sein, ohne dass vorgängig die USA ihre Gesetzgebung anpassen. Damit bleiben wohl in erster Linie noch die wenigen Ausnahmen nach Art. 49 DSGVO, insbesondere das Einholen einer expliziten Zustimmung (opt-in) bei jeder betroffenen Person, zu der Daten gespeichert werden, als Ausweg.

Der Entscheid ist zum Zeitpunkt dieses Artikels noch ganz frisch und die verschiedenen, spezialisierten Rechtsanwälte werden sich nun Gedanken machen, wie diesem Problem mit den tiefsten Risiken begegnet werden kann. Wir widmen uns im Weiteren den technischen Spezifika die für die Betrachtung des Themas Datenschutz relevant sind.

--

linkyard ist Spezialistin für den sicheren Betrieb von Collaboration Services. Rund 100 Kunden - darunter viele aus Branchen mit besonders hohen Informationssicherheits- und Datenschutzanforderungen wie Banken, Versicherungen, öffentliche Verwaltung, kritische Infrastrukturen oder Rüstung - zählen auf unsere Dienstleistungen. Das Informationssicherheits-Managementsystem von linkyard ist nach ISO 27001:2013 zertifiziert.

Wie können wir dir helfen?

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.