… welches man beim ersten Rendezvous mit seiner Geliebten anspricht. Dennoch ist es wichtiger denn je, dass wir das Thema Datenschutz ernst nehmen, uns mit den Anforderungen auseinandersetzen und vor allen Dingen prüfen, ob wir alle in unserer Macht stehenden Maßnahmen getroffen haben, um uns korrekt und sicher gegenüber unseren Kunden, Lieferanten, Geschäftspartnern und nicht letztendlich auch der Aufsichtsbehörde zu verhalten.

Dieser Blogeintrag soll keine tief gehende rechtliche Analyse der aktuellen Situation sein, es soll mehr ein Gedankenspiel in Richtung: „Was wäre wenn und wie kann ich mich darauf vorbereiten?“, sein.

Grundsätzlich und sehr abstrahiert funktioniert der heutige Datenschutz so, dass ich als Geschäftsführer eines Systemhauses dafür Sorge tragen muss und die volle Verantwortung dafür trage, dass der Umgang mit personenbezogenen Daten den aktuellen rechtlichen Vorgaben entspricht. Im Detail bedeutet dies, dass ich meine internen Abläufe und Prozesse den Datenschutzanforderungen anpassen muss. Abweichend von den Tätigkeitsfeldern können es ganz unterschiedliche Maßnahmen sein, die hierzu erforderlich sind.

 

Datenschutz Maßnahmen

Sehr oberflächlich handelt es sich um technisch-organisatorische Maßnahmen, um die Sensibilisierung meiner Mitarbeiter, die Definition von Prozessen und das Abschließen von Verträgen, sowohl auf Kunden- als auch auf Lieferantenseite.

Innerhalb dieser Verträge werden die getroffenen Maßnahmen spezifiziert und quasi vereinbart. So verpflichte ich mich gegenüber dem Kunden, die definierten Maßnahmen und Prozesse einzuhalten und umzusetzen und garantiere dadurch den ordnungsgemäßen Umgang mit den Daten. Kommt ein Lieferant, der in meinem Auftrag die Daten ebenso verarbeitet und den Zugriff hat, hinzu, muss ich auch meinen Lieferanten zu den gleichen Maßnahmen und zu dem gleichen ordnungsgemäßen Umgang bei der Verarbeitung der Daten verpflichten. Im Sinne der DSGVO wird hier von einem sogenannten Auftrags Verarbeiter gesprochen.

Soweit ist es ja bisher noch eine sehr einfache und übersichtliche Situation. Dies bleibt auch so, wenn sich alle handelnden Personen innerhalb des gleichen Rechtsraumes bewegen. Am einfachsten ist es, wenn es sich wie in unserem Falle nur um deutsche Unternehmen handelt. Händelbar ist es auch noch ohne Probleme, wenn es sich um europäische Unternehmen handelt.

 

Ablageorte außerhalb der EU

Eine gewisse Schwierigkeit gibt es jedoch, wenn Unternehmen oder Ablageorte außerhalb der EU hinzukommen. Hier besteht meistens die Schwierigkeit, dass die Verträge häufig auch mit einer sehr großen Seitenanzahl nicht mehr in deutscher, sondern in englischer Sprache verfasst werden. Obwohl ich es schaffe, mich im sprachlichen Umgang verständlich zu machen und auch mein Gegenüber in englischer Sprache verstehe, ist es für mich sehr schwierig, teilweise aber auch nicht möglich, diese Verträge komplett zu verstehen oder auch zu überprüfen. Eine juristische Prüfung eines 20-seitigen englischsprachigen Vertrages mit einem großen internationalen Konzern ist auch häufig aus Kostengründen nicht zweckmäßig. Dennoch ist es übliche Praxis, dass man einfach darauf vertraut, dass mein Gegenüber schon weiß, was er mir hier vorlegt.

Damit haben wir schon den ersten Stolperstein in dieser ganzen Rechtsbeziehung. Ich garantiere meinem Kunden den ordnungsgemäßen, verantwortungsvollen Umgang mit seinen personenbezogenen Daten. Kann dies aber, wenn ich ehrlich bin, gar nicht mehr zu 100% garantieren, wenn ich nicht genau verstanden habe und überprüfen kann, was in dem Datenschutzvertrag meines Dienstleister festgehalten und vereinbart wurde.

Und im Fall der Fälle: die Aufsichtsbehörde wird sicherlich nicht ein englisches Vertragswerk ohne beglaubigte Übersetzung akzeptieren.

Um hier verschiedene Absprachen zu vereinfachen, wurde als Ersatz für das gekippte Safe-Harbor Abkommen, das sogenannte Privacy-Shield Abkommen ins Leben gerufen. Und für alle, die sich noch nicht mit diesem Thema auseinandergesetzt haben, kurz zu Erklärung, um was es geht.

 

Privacy Shield Abkommen

Privat-Shield ist bildlich gesprochen ein Verein, in dem Unternehmen außerhalb der EU Mitglied werden und sich durch die Mitgliedschaft dazu verpflichten, die Einhaltung der europäischen Datenschutzgesetze zu garantieren. Dies gilt dann als gesetzeskonforme Grundlage, um eine Vereinbarung zu Auftragsverarbeitung abzuschließen. Dies stellt schon seit nunmehr drei Jahren die Basis für alle Vereinbarungen zur Auftragsverarbeitung zwischen deutschen und amerikanischen Unternehmen dar. Gerade aktuell wurde im Oktober 2019 durch die Europäische Union die Rechtmäßigkeit dieses Abkommens, das jährlich überprüft werden muss, nochmals für ein weiteres Jahr bestätigt.

Können wir uns nun entspannt zurücklegen, weil ja alles geklärt und sicher ist?

Ich befürchte, nicht ganz. Zum einen verpflichtet sich ein Unternehmen unter dem Privacy-Shield zur Einhaltung der europäischen Datenschutzgesetze, zum anderen obliegt es aber den Gesetzen seines jeweiligen Landes bzw. auch des Landes, indem die Daten gespeichert werden. Nehmen wir das Beispiel Amerika. Da sich der amerikanische Staat aber nicht zwingend an die europäischen Datenschutzgesetze hält, ergibt sich hier grundsätzlich ein Problem.

Ich erinnere nochmals daran, dass ich als Geschäftsführer meinen Kunden garantiere, dass ich alles in meiner Macht Stehende tue, um deren Daten sicher zu speichern. Unter Umständen habe ich aber eine Vereinbarung unterschrieben, die ich nicht ganz verstanden habe und es ist auch landläufig bekannt, dass diese Zusage innerhalb des amerikanischen Unternehmens, innerhalb des Privacy-Shields, eigentlich nicht eingehalten werden kann, da das Landesgesetz vor der Vereinbarung mit Privacy-Shields steht und somit ein Durchgriff des amerikanischen Staates auf die Daten des Unternehmens, respektive die Daten, die wir für einen Kunden durch ein amerikanisches Unternehmen verarbeiten, möglich wäre.

Durch die Bestätigung der EU ist dies rechtlich für mich als Geschäftsführer aktuell aber noch absolut in Ordnung. Von der Vertrauensbasis her garantiere ich aber etwas, was wissentlich in der Form nicht richtig ist. Nun kann man geteilter Meinung sein, ob dies ein entscheidender Faktor in diesem Zusammenhang sein mag oder nicht. Eine weitere Situation, die wir uns alle nochmals deutlich machen sollten, ist, dass durch den Wegfall des Privacy-Shield Abkommens die Grundlage aller Vereinbarungen zur Auftragsverarbeitung, die wir mit unseren Kunden geschlossen haben, somit hinfällig sein können.

Das dies nicht so abwegig ist, zeigt die aktuelle Klage des österreichischen Datenschutzaktivisten Max Schrems, der sich vor dem europäischen Gerichtshof aktuell mit Facebook gerichtlich auseinandersetzt, ob Daten von EU-Bürgern in den USA wirklich sicher sind. In einem ähnlichen Verfahren beschloss der EuGH vor vier Jahren, dass das Safe-Harbor Abkommen der EU-Kommission mit den USA nicht EU-Recht konform war. Gegenstand der Klage ist dieser Zustand, den ich zuvor beschrieben habe, dass die US Geheimdienste sehr weitreichende Abhörbefugnisse haben, die es auch erlauben, Zugriff auf Daten deutscher Unternehmen zu nehmen. Übrigens verdanken wir diese Information einer Enthüllung von Edward Snowden. Interessant wird hier die Frage sein, wie sich die USA gegenüber dem Datenschutz positionieren wollen, vor allen Dingen, wenn auf der anderen Seite der Abwägung ihre nationale Sicherheit und die Terrorabwehr steht.

Zusammenfassend möchte ich es auf folgende Erkenntnis bringen:  Solang ich Regelungen mit europäischen Unternehmen treffe, haben die eine langfristige Rechtssicherheit in Bezug auf den Datenschutz. Sobald ich Vereinbarungen mit ausländischen, respektive amerikanischen Unternehmen, treffe, die nicht innerhalb der EU anzusiedeln sind, habe ich zum jetzigen Zeitpunkt durch den Schutz von Privacy-Shield eine rechtliche Sicherheit, weiß jedoch, dass diese nicht so wie vereinbart gewährleistet werden kann. Für die Zukunft habe ich das Risiko, dass alle Verträge, die ich mit meinen Kunden habe, ungültig werden können, wenn das Privacy-Shield gekippt wird.

 

Fazit

Wer auf Basis des Privacy-Shields personenbezogene Daten in der USA verarbeiten lässt, bewegt sich auf sehr dünnem Eis.

Wir von Server-Eye haben auf dieser Basis die Rechtssicherheit für unsere Kunden ganz einfach geregelt.

Es sind alle Kooperationen mit Dritten, die einer datenschutzrechtlichen Vereinbarung bedürfen, auf ein Minimum reduziert. Wenn es eine Zusammenarbeit gibt, die einer datenschutztechnischen Regelung bedarf, handelt es sich hierbei ausschließlich um deutsche und europäische Unternehmen, sodass unsere Kunden auch langfristig auf die Einhaltung und Rechtmäßigkeit unserer Datenschutzvereinbarung vertrauen können.