Fachartikel | Deutschland

Nach Privacy Shield-Aus: Neue Anforderungen an den Datenschutz

Das Urteil des Europäischen Gerichtshofs zur Aufhebung des amerikanisch-europäischen Datenschutzabkommens „Privacy Shield“ war ein Paukenschlag. Was bedeutet diese Entscheidung für deutsche Unternehmen, die sich Cloud-Anbietern aus den USA bedienen? Eine Einschätzung von Heike Gündling, MD Real Estate, Eucon, und Friederike Buchheister, Leiterin Digitalisierung, GARBE Industrial Real Estate GmbH.

Das Urteil des Europäischen Gerichtshofs (EuGH) zur Aufhebung des amerikanisch-europäischen Datenschutzabkommens „Privacy Shield“ vom 16. Juli 2020 war ein Paukenschlag. Was bedeutet diese Entscheidung für deutsche Unternehmen, die sich Cloud-Anbietern au
Von Gastbeitrag, Heike Gündling / Friederike Buchheister, 28.01.2021

Die Digitalisierung der deutschen Immobilienbranche schreitet mit großen Schritten voran. Effizienzgewinne lassen sich nicht zuletzt dank US-amerikanischer Cloud-Anbieter generieren. Immer öfter greifen Immobilienunternehmen auf deren Datenplattformen zurück, um ihre Prozesse abzubilden, Daten in Echtzeit von überall aus verfügbar zu machen und damit vor allem das Kundenerlebnis stetig zu verbessern. Dem Datenschutz kommt hierbei gerade in Europa eine zentrale Rolle zu. Nach dem ersten EuGH-Urteil 2015 entfiel die bis dahin geltende Grundlage „Safe Harbour“ zwischen den USA und der EU, das Nachfolgeabkommen „Privacy Shield“ haben die Luxemburger Richter 2020 ebenfalls für ungültig erklärt. Um weiterhin US-Dienste nutzen zu können, müssen Immobilienunternehmen künftig noch sorgfältiger ihren Anbieter auswählen.    

                    Heike Gündling,
 Managing Director Real Estate bei Eucon. Quelle: Eucon. Friederike Buchheister,
 Juristin und Leiterin Digitalisierung bei Garbe. Quelle: Garbe.

Was Unternehmen nach dem „Privacy Shield“-Urteil beachten müssen

  1. Deutsche und europäische Unternehmen dürfen mit sofortiger Wirkung „Privacy Shield“ für internationale Datenübermittlungen nicht mehr einsetzen. Eine Übergansfrist wurde nicht eingeräumt.
  2. Das Urteil betrifft Datenübermittlungen ins außereuropäische Ausland, die personenbezogene Daten enthalten: Hierzu zählen z.B. bereits Namen von Mitarbeitern in Emails.
  3. Die EU-Standardvertragsklauseln, die bislang als Musterklauseln für diese transatlantischen Datenverarbeitungen genutzt worden sind, können mit sofortiger Wirkung in der bestehenden Form nicht mehr eingesetzt werden.
  4. Unternehmen, die personenbezogene Daten auf der Grundlage von „Privacy Shield“ weiterhin übermitteln, müssen mit Untersagungen und empfindlichen Bußgeldern durch die datenschutzrechtlichen Aufsichtsbehörden rechnen.

Nicht nur die Immobilienbranche in Deutschland horcht auf. Denn als deutsches beziehungsweise europäisches Unternehmen unterliegt man den bekannten Bestimmungen der Europäischen Datenschutzgrundverordnung (DSGVO). Die Übermittlung personenbezogener Daten beinhaltet von dem Versenden einer Email über einen Cloud-Dienst eines in einem Drittland ansässigen Anbieters bis hin zu einer kompletten Datenspeicherung auf einer außerhalb Europas gehosteten Cloud-Plattform eine große Bandbreite von Datenverarbeitungsprozessen.

Keine massiven Konsequenzen für US-Anbieter in Europa

Das Urteil ist zwar umfassend, muss aber nicht zum sofortigen Handeln verpflichten. Eine Abwehrhaltung gegen US-Digitalkonzerne ist entsprechend noch nicht geboten. Im Gegenteil: Diese verzeichnen seit Jahren bei ihrem Cloud-Geschäft Umsatzzuwächse im zweistelligen Prozentbereich. Der US-Researcher Gartner prognostizierte bereits 2019 einen Umsatzsprung im Cloud-Segment von 230 auf 500 Milliarden US-Dollar bis 2023. Für Amazon ist bereits seit einigen Jahren nicht die Handelsplattform, sondern die Cloud-Sparte „Amazon Web Services“ (AWS) das umsatzstärkste Segment – im vergangenen Jahr 2019 mit einem Anteil von 60 Prozent am Konzernumsatz.

Dennoch: Aufgrund der aktuellen Entwicklungen stellt sich die Frage, ob aus der Erfolgsgeschichte mit den großen US-amerikanischen Playern in Europa bald ein Rückzugsgefecht werden kann? Der Versuch, den US-Unternehmen einen sicheren Rechtsrahmen in Europa zu bieten, ist nämlich schon zweimal gescheitert.

„Privacy Shield“ – kurze Lebensdauer eines zu hastig erarbeiteten Abkommens

Nach der Aufhebung des 2000 geschlossenen Abkommens „Safe Harbour“ 2015 erarbeitete die US-Regierung noch unter Präsident Obama mit der EU-Kommission das neue Abkommen „Privacy Shield“, das im Februar 2016 in Kraft trat. Es räumte europäischen Bürgern erstmals ein, in den USA gegen Datenschutzverstöße zu klagen. Zudem wurde ein Ombudsmann im US-Außenministerium als Ansprechpartner für europäische Bürger installiert. Doch die Zusagen wurden in der Praxis nicht erfüllt, sodass der EuGH im Juli 2020 der Klage gegen das „Privacy Shield“-konforme Prozedere von Facebook in Irland Recht gab.

Das Urteil gegen das EU-US-„Privacy Shield“ ist gleichwohl kein Aufruf zur Kursänderung in der europäischen Wirtschaft. Dies gilt auch für die deutsche Immobilienbranche: Über 60 Prozent der in der ZIA-Digitalisierungsstudie von 2019 befragten Unternehmen messen Cloud Computing eine wesentliche Rolle in ihrer digitalen Transformation zu – und bauen dabei gerade auch auf US-Produkte. Wer keine eigenen Lösungen entwickelt, geht in die Public Cloud im Sinne des Infrastructure as a Service (IaaS) und Platform as a Service (PaaS), bei welchen die gesamte Cloudtechnik durch den jeweiligen Anbieter gestellt wird und der Nutzer seine Inhalte unter einer eigenen Benutzeroberfläche einspielt. Der PaaS-Markt hat noch keine Transparenz zu Umsatzzahlen erreicht, besteht laut Researcher Gartner gleichwohl derzeit aus rund 360 Unternehmen, wobei nur die bekannten großen US-Konzerne hierbei konkurrenzfähige Produkte anbieten.

Den weltweiten IaaS-Markt teilen sich aktuell de facto Amazon, Google und Microsoft mit einem gemeinsamen Anteil von rund 65 Prozent. Noch mehr Umsatz erwirtschaften die Software as a Service-Lösungen (SaaS), bei der der Nutzer neben der Technik und der Plattform auch die Oberfläche mit den Standardfunktionalitäten des Produktes nutzt. Auch in diesem Segment finden sich mit Microsoft, Salesforce und Adobe drei US-Unternehmen, die einen weltweiten Marktanteil von zusammen 40 Prozent abdecken.

Entwurf neuer EU-Standardvertragsklauseln liegt vor

US-amerikanische Unternehmen werden auch künftig in Europa agieren können – hierfür bedarf es eines neuen rechtlichen Rahmens. Es gilt zunächst der Grundsatz: Unternehmen sollten den rechtlichen Anforderungen des EuGHs, der Datenschutzaufsichtsbehörden sowie des Europäischen Datenschutzausschusses (EDSA) entsprechen. Letzterer hat Mitte November unter anderem ausführliche Empfehlungen über ergänzende Maßnahmen zu Transferwerkzeugen für internationale Datentransfers veröffentlicht.

Kurz darauf veröffentlichte die Europäische Kommission den Entwurf neuer „Standarddatenschutzklauseln“ für Übermittlungen personenbezogener Daten in Drittländer. Ebenso präsentierte sie den Entwurf für „Standardvertragsklauseln“ für Auftragsverarbeitungsverträge in der Europäischen Union. Der Inhalt dieser neuen Standardvertragsklauseln sei an dieser Stelle nicht hervorgehoben, sondern die Klarstellung der Europäischen Kommission, dass trotz der Verwendung derselben ergänzende Maßnahmen abhängig von der Rechtslage in dem jeweiligen Drittland erforderlich werden könnten. Sofern es nicht zum Widerspruch kommt, werden die neuen Standardvertragsklauseln im Laufe des kommenden Jahres in den einzelnen EU-Mitgliedsstaaten ratifiziert werden.

Fazit: Mehr DSGVO-Sorgfalt auf beiden Seiten wird nötig

Ein Nachfolgemodell für „Privacy Shield“ steht noch aus, aber es besteht kein Grund für eine Abkehr von US-Produkten oder sogar den plötzlichen Wechsel der Cloud. Unternehmen sollten eine Due-Diligence durchführen, um herauszufinden, welche transatlantischen Datenflüsse wohin und zu welchem Zweck stattfinden. Cloud-Anbieter sind gemäß DSGVO dazu verpflichtet, zu diesen Fragen detaillierte Informationen bereitzustellen. Falls der Dienstleister das europäische Datenschutzniveau, beispielsweise durch einen außerhalb der USA und der EU tätigen 24/7-Support, nicht halten kann, muss es zu einer Vertragsanpassung kommen. Ferner gilt es, bestehende und neue Verträge mit Datendienstleistern an die neuen, bald in Kraft tretenden Standardvertragsklauseln anzupassen und ergänzende Schutzmaßnahmen zu identifizieren und umzusetzen.

Die Cloud-Anbieter geben den datenexportierenden Unternehmen in der Regel gute Leitlinien an die Hand. Im November 2020 gab beispielsweise Microsoft bekannt, dass alle staatlichen Anfragen zum Datenzugriff juristisch angefochten würden, sofern und soweit es hierfür eine rechtliche Grundlage gebe. Es ist zu erwarten, dass die US-Wettbewerber ähnliche Erklärungen vorlegen werden, um ihr Europa-Geschäft nicht zu gefährden. Insofern werden die amerikanischen Anbieter mit hoher Wahrscheinlichkeit auch in den kommenden Jahren den europäischen Markt weiterhin prägen.

Quelle Aufmacherfoto: Tumisu auf Pixabay.

Zurück