Klage gegen Privacy Shield eingereicht:
Gestern Abend veröffentlichte das IT-Magazin NextInpact die Meldung, dass drei französische Bürgerrechtsorganisationen vor dem Europäischen Gericht eine Nichtigkeitsklage gegen das neue US-Abkommen Privacy-Shield erhoben haben. Die Frage der Rechtmäßigkeit zur Nutzung von US-Cloudanbietern geht damit in die zweite Runde.
Was ist passiert?
Die EU-Kommission hatte im Juli mit der US-Regierung das Safe-Harbor-Nachfolgeabkommen Privacy-Shield geschlossen, wonach es EU-Unternehmen ab August erlaubt sein soll, die US-Dienste von zertifizierten Providern wie Microsoft Azure, Amazon EC2, Google Cloud, Facebook, Saleforce oder Dropbox zu nutzen. Die aktuelle Liste der bislang zertifizierten Unternehmen finden Sie hier. Datenschutzbehörden sehen das neue Abkommen kritisch, denn die Überwachungspraxis der US-Geheimdienste hat sich nicht wesentlich geändert. Genau deshalb gehen nun erste Verbraucherschutzverbände in der EU gegen das Abkommen vor. Zwischenzeitlich sind Nichtigkeitsklagen der Organisationen Digital Rights (Irland) und Qudrature du Net (Frankreich) sowie zwei weiterer Kläger bekannt. Es heißt nun abwarten, ob diese Klagen überhaupt zugelassen werden, denn eigentlich ist nur klagebefugt, wer unmittelbar von der Datenübermittlung betroffen ist. Dennoch besteht eine reelle Chance, dass das nun angestoßene Verfahren in erster Instanz (EuG) und später zweiter Instanz (EuGH) zur Aufhebung des Privacy Shield führt.
Warum ist das wichtig für Sie?
Relevant ist das Thema Privacy Shield für alle Unternehmen, die IT-Services von US-Providern nutzen und personenbezogene Daten auf US-Servern oder Servern von US-Providern speichern. Zwar haben die deutschen Datenschutzbehörden erklärt, sich die Praxis des neuen Abkommens einmal anzuschauen und zunächst keine Verfahren einzuleiten. Allerdings kann sich dies schnell ändern, sobald neue Informationen auftauchen, z.B. die Offenlegung einer weiterhin durchgeführten Massenüberwachung durch die US-Geheimdienste oder eben ein Urteil des Europäischen Gerichts.
Was ist zu tun?
Falls Sie mit Ihrem Unternehmen derzeit IT-Services von US-Provicern nutzen, so sollten Sie zunächst prüfen, ob hier a.) Standardvertragsklauseln vereinbart wurden oder b.) der US-Provider dem PrivacyShield beigetreten ist (siehe Liste oben). Falls nein, dann sollten Sie die Nutzung einstellen. Falls ja, dann können Sie grundsätzlich zunächst abwarten, was nun weiter passiert. Der rechtssicherste Weg liegt jedoch langfristig in der Nutzung von IT-Services der großen EU-Provider, bestenfalls mit Sitz und Serverstandort in Deutschland.
Was ist noch passiert?
- Der EuGH hat Ende Oktober (Az. C-582/14) entschieden, dass dynamische IP-Adressen für Website-Betreiber grundsätzlich personenbezogene Daten sind und damit dem Datenschutz unterliegen. Sie sollten daher darauf achten, dass Ihr Webserver die protokollierten IP-Adressen der Nutzer in Zukunft gleich wieder löscht, soweit diese nicht zu Abrechnungszwecken benötigt werden.
- SKW Schwarz ist vergangene Woche vom Branchenmagazin JUVE zur „Kanzlei des Jahres für Medien und Technologie“ gewählt worden.
