skip to Main Content

Privacy Shield und die Konsequenzen für die Unternehmen aus Sicht der ADDAG Datenschützer

Der EuGH hat am 16. Juli 2020 den Privacy Shield für ungültig erklärt. Was bedeutet das nun für unsere Mandanten?

In der Regel sind vor allem die Mitarbeitervertretungen / Betriebsräte besorgt, dass die Nutzer IT-Lösungen, die Daten der Mitarbeiter möglicherweise in die USA übertragen, ungültig oder gar rechtlich unzulässig sind. Diese Meinung wird auch von den meisten Unternehmern und Geschäftsführungen geteilt. Hinzu kommt durch die DSGVO eine Nachweispflicht für die Unternehmen, was getan wurde, um die personenbezogene Daten zu schützen (DSGVO Art 5 (2)). Wie verhält man sich nun aber richtig?

In allen Datenschutzbewertungen und Datenschutzfolgeabschätzungen, die wir für unsere Mandanten angefertigt haben, haben wir selbstverständlich auch den Privacy Shield berücksichtigt, aber nicht ausschließlich darauf abgestellt, sondern vielmehr auf gültige EU-Standarddatenschutzklauseln. Aber auch diese werden aktuell diskutiert und in Frage gestellt, ob damit die Nutzung rechtlich zulässig wird. Selbst der Bundesdatenschutzbeauftragte Ulrich Kelber teilt mit, dass nun „besondere Schutzmaßnahmen“ ergriffen werden müssen. Wie das genau aussehen soll, sagen er und alle anderen aktuell schreibenden Spezialisten allerdings nicht.

Verantwortliche Unternehmen müssen verstehen, dass die IT-Lösung, die eingesetzt werden soll, das eine und die Daten die genutzt werden, das andere sind.

IT-Lösungen, wie zum Beispiel Microsoft 365, erheben natürlich auch eigenständig Kommunikationsdaten, wie zum Beispiel IP-Adressen, Dauer der Übertragung, gegebenenfalls Teilnehmerdaten. Das subsummiert sich in der Begrifflichkeit der „Telemetriedaten“. Hier haben wir schon immer empfohlen, die Telemetriedaten auf das technisch mögliche und notwendigste zu reduzieren, um ein zu akzeptierendes Restrisiko zu erreichen. Das wird auch künftig der einzige Weg sein, so dass das Management eines Verantwortlichen dieses Restrisiko tragen werden wird. Es werden idealistische Diskussionen geführt, dass wir technische Plattformen innerhalb der europäischen Union brauchen. Diese Meinung teilen wir auch, aber das ist eher Zukunftsmusik. Unternehmen brauchen eine Lösung – jetzt und nicht irgendwann in der Zukunft. Es hilft auch nicht, dass in der Presse zu lesen ist, „.. die Politik sei jetzt am Zug und müsse Antworten liefern…“.

Die andere Seite sind die Daten, die genutzt werden sollen. Ich kann daher aus pragmatischer Sicht unseren Mandanten nur empfehlen, internationale kosteneffiziente Plattformen zu nutzen, die zuverlässig funktionieren auf der einen Seite, und auf der anderen Seite schützenswerte Unternehmensinformationen, dazu zählen auch personenbezogene Daten im engeren Sinne, in einer hybriden Form auf hiesigen Datenspeichern innerhalb der europäischen Union abzulegen. Nur so lässt sich eine internationale Plattform, zum Beispiel in den USA, nutzen. Unternehmen wollen moderne Arbeitsplätze anbieten, um als Arbeitgeber attraktiv zu sein und auch als zuverlässiger vertrauenswürdiger Geschäftspartner aus Sicht der eigenen Auftraggeber zu gelten, die immer häufiger ihre Auftragnehmer auf Informationssicherheit prüfen werden.

Es ist daher unabdingbar, dass die Verantwortlichen ihren Nutzern Orientierungshilfen und oder Richtlinien mit auf den Weg geben, zu welchem Zweck und wie genau eine internationale Plattform genutzt werden soll. Das betrifft einerseits die Plattformen, die der Verantwortliche selbst seinen Nutzern zur Verfügung stellt aber in Zeiten von mobilem arbeiten und Home-Office unbedingt auch die Fremdplattformen, zu denen tagtäglich die Mitarbeiter des Verantwortlichen eingeladen werden.

Die Ausgestaltung der Härtung der Systeme zur Reduzierung der Telemetriedaten auf der einen Seite, die Nutzung von hybriden Speichersystemen auf der anderen Seite, sowie die Erstellung von Orientierungshilfen für die Nutzer ist keine Wissenschaft. Dies muss jedoch vor Einführung einer solchen Plattform unbedingt umgesetzt werden, um die Nachweispflichten zu erfüllen. Unser Team ist in dieser Sache sehr erfahren und steht (verunsicherten) Verantwortlichen dazu gerne zur Verfügung. Lernen Sie aus dem Kollektiv und der Erfahrung der Mandate.

Kontakt: Datenschutz@ADDAG.de

Back To Top