Das Jahr 2020 war in mehrerer Hinsicht ein schwieriges Jahr für Unternehmen. Auch datenschutzrechtlich ist eine Veränderung eingetreten, die Maßnahmen im Geschäftsbetrieb verlangt. Im Sommer diesen Jahres wurde vom Europäischen Gerichtshof das Privacy-Shield-Datenschutzabkommen zwischen der EU und den USA gekippt. Die juristischen Folgen dieses Urteils sind für viele Unternehmen nur schwer zu überschauen. Das aktuelle Whitepaper der Open Source Business Alliance bringt in kompakter Form Licht ins Dunkel und gibt konkrete Hinweise zum Umgang mit den neuen Regeln.

Das Privacy-Shield-Datenschutzabkommen beinhaltete Datenschutzgrundsätze, zu denen sich US-amerikanische Unternehmen verpflichten konnten, indem sie sich in eine Liste des US-Handelsministeriums eintragen ließen. Bis zum Urteil des Europäischen Gerichtshofs war mit dem EU-US Privacy Shield ein Datentransfer in die USA nach den selben Regeln wie innerhalb der EU möglich. Doch diese Rechtgrundlage wurde mit dem Urteil vom 16. Juli 2020 für unwirksam erklärt. Gemessen an der EU-Grundrechte Charta wurden die staatlichen Überwachungsmaßnahmen der USA als unverhältnismäßig eingestuft. Damit fällt die USA zurück in den Status eines Drittlandes wie beispielsweise Indien, China oder Russland.

Es werden jedoch täglich riesige Mengen personenbezogener Daten aus der EU an die USA übermittelt. Unternehmen speichern immer häufiger Daten in der Cloud und setzen Software US-amerikanischer Anbieter ein. Die Speicherung der Daten ist jedoch nicht das einzige Problem, denn auch alle weiteren Verarbeitungen und Übermittlungen personenbezogener Daten sind betroffen.

Unternehmen, die aufgrund des EuGH-Urteils eine Bestandsaufnahme ihrer Datenübermittlungen in Drittländer durchführen, müssen also nicht nur ihre Datenbestände analysieren, sondern auch alle dort stattfindenden Verarbeitungen. So gibt es etwa zahlreiche Cloud-Anwendungen, die Daten zwar in der EU speichern, spezifische Verarbeitungen hingegen nach wie vor in den USA durchführen. Weil der Europäische Gerichtshof keine Übergangs- oder Schonfrist eingeräumt hat, müssen Unternehmen so zeitnah wie möglich mit ersten Maßnahmen beginnen und diese Aktivitäten nachweisen.

In dem neu erschienenen Whitepaper der Open Source Business Alliance (OSB Alliance) beschreibt die zertifizierte Datenschutz-Expertin Henriette Baumann, die mit ihrem Beratungsunternehmen als Datenschutzbeauftragte für international agierende Unternehmen tätig ist, worauf Unternehmen jetzt achten müssen. Es wird sehr konkret beschrieben, welche Maßnahmen ergriffen werden können und müssen. Eine Checkliste enthält die wichtigsten Dos und Dont‘s. Das Dokument kann auf der Website der OSB Alliance unter https://osb-alliance.de/news/publikationen/veroeffentlichungen/der-zerbrochene-schild heruntergeladen und unter Beachtung der Creative Commons Lizenz weitergegeben und genutzt werden.

Über die OSB Alliance – Bundesverband für digitale Souveränität e.V. (OSB Alliance)

Die OSB Alliance ist der Verband der Open Source Industrie in Deutschland. Dabei vertreten wir rund 170 Mitgliedsunternehmen, die in Deutschland ca. 10.000 Mitarbeiter beschäftigen und jährlich mehr als 1,7 Milliarden Euro erwirtschaften. Gemeinsam mit wissenschaftlichen Einrichtungen und Anwenderorganisationen setzen wir uns dafür ein, die zentrale Bedeutung von Open Source Software und offenen Standards für einen erfolgreichen digitalen Wandel im öffentlichen Bewusstsein nachhaltig zu verankern. Dieser digitale Wandel soll Unternehmen, Staat und Gesellschaft gleicherweise zugutekommen. Zudem sollen Innovationen im Bereich Open Source vorangetrieben werden. Unser Ziel ist es, Open Source als Standard in der öffentlichen Beschaffung und bei der Forschungs- und Wirtschaftsförderung zu etablieren. Denn Open Source und offene Standards sind zwingende Grundlagen für digitale Souveränität, Innovationsfähigkeit und Sicherheit im digitalen Wandel und damit die Antwort auf eine der größten Herausforderungen unserer Zeit.

Whitepaper „Der zerbrochene Schild – Was Unternehmen nach dem Privacy-Shield-Urteil beachten müssen“

Whitepaper „Der zerbrochene Schild – Was Unternehmen nach dem Privacy-Shield-Urteil beachten müssen“ (PDF)