EuGH kippt Privacy Shield – was nun?

Am 16. Juli 2020 ist datenschutzseitig vergleichsweise ein Erdbeben passiert für alle Datenverarbeiter mit Anbindungen in die Infrastrukturen US-amerikanischer Unternehmen. Dass gemäß EuGH-Urteil die bisherigen Vereinbarungen zwischen Europa und den USA nach dem Privacy Shield nicht mehr den Anforderungen an die EU-DSGVO genügen und deshalb für ungültig erklärt wurden, schafft über Nacht gewaltige Probleme für die Wirtschaft. Die Datenverarbeitung etwa mit Social Media Plattformen wie Facebook & Co., Cloud-Diensten, Online-Händlern oder auch den großen Betriebssystemherstellern mit deren Cloud-Diensten wird in vielen Fällen nicht mehr rechtskonform sein. Einfache Lösungen wird es aber nicht geben, das Problem sitzt zu tief.

Die europäischen Richter haben entschieden, dass der Datenschutz in den USA insbesondere aufgrund der dortigen zahlreichen Überwachungsgesetze nicht nach europäischen Regeln eingehalten werden kann. Konkret hatte Facebook eingeräumt, dass auch die durch Facebook Ireland verarbeiteten Daten in die USA übertragen werden können.

Die sogenannten EU-Standardvertragsklauseln als zu untersuchende einzige Alternative bieten leider auch keine Grundlage, da das momentan ungelöste Problem der Weitergabe europäischer Daten aufgrund der US-Überwachungsgesetze fortbesteht. Konkret die Klausel 5 – Pflichten des Datenimporteurs dürfte jede Vereinbarung auf dieser Grundlage ungültig machen. Dazu kommt, dass solche Vereinbarungen vergleichbar zu einer Auftragsdatenverarbeitung wirken und damit z.B. Kontrollrechte des Datenexporteurs beim Vertragsunternehmen inkl. der dort ggf. einbezogenen Subunternehmen beinhalten würden. Keiner der US-Tech-Giganten würde wohl darauf eingehen. Und weil die Standardvertragsklauseln nur um Bedingungen erweitert werden dürfen, welche nicht im Widerspruch zu den bestehenden Klauseln stehen, dürften diese für US-amerikanische Verträge untauglich sein – Ende Gelände.

Die Wirtschaft darf zu Recht eine Lösung „von oben“ erwarten, und das ist konkret die Richtung, aus der auch das Problem entstanden ist. Eine politische Lösung, die aber noch dauern wird, denn die Interessenlagen sind zu verschieden. Erlaubt sei auch die Feststellung, dass Europa es langfristig und geradezu sträflich versäumt hat, eigene technologische Global Player auf Augenhöhe mit den anderen globalen Internet-Dienstleistern zu fördern. Es bleibt die Hoffnung, dass europäische Unternehmen nicht von der Politik vor den Karren gespannt werden, um europäisches Datenschutzrecht etwa durch Aufkündigung von Geschäftsbeziehungen aufgrund des im Raum stehenden Damokles-Schwertes hoher Strafen doch noch irgendwie durchzusetzen.

Unternehmer, welche die nun offenbar nicht mehr rechtssicheren Datenverarbeitungen aktiv halten, riskieren Bußgelder. Vor dem Hintergrund, dass Entscheidungen zur Datenverarbeitung und zum Datenschutz immer auch die Komponente der Angemessenheit enthalten, darf für die rechtliche Einschätzung und Anpassung der internen Prozesse auch eine ausreichende Zeit veranschlagt werden. Wir empfehlen allen betroffenen Unternehmen dieses Vorgehen:

  • die neu entstandenen rechtlichen Bedingungen aufgrund der Ungültigkeit des Privacy Shield detailliert zu besprechen und zu dokumentieren sowie politische Initiativen aufmerksam weiter zu verfolgen, insbesondere Äußerungen der zuständigen Landesdatenschutzbeauftragten zum Umgang mit der Situation
  • eine Bestandsaufnahme für betroffene Kunden und Mitarbeiter zu erheben und die betriebliche Notwendigkeit solcher Datenverarbeitungen einzuschätzen

sowie im Falle der Beibehaltung des amerikanischen IT-Partners …

  • eine Datenschutzfolgeabschätzung für die Auswirkungen auf Kunden und Mitarbeiter anzustellen
  • Alternativen für eine rechtssichere Datenverarbeitung zu prüfen
  • die Einwilligungserklärungen von Kunden und Mitarbeitern zu prüfen und ggf. neu formuliert einzuholen

Wir stellen für betroffene Unternehmen in unserem Downloadbereich eine Vorlage für so eine interne Besprechung der Situation bereit.

Wer diese Überlegungen und Handlungen anstellt, hat in einer möglichen Auseinandersetzung mit einer Aufsichtsbehörde gute Karten, etwaige im Raum stehende Bußgelder abzuwenden und sein möglicherweise existentiell mit amerikanischen Geschäftspartnern durchzuführendes Geschäftsmodell auch weiter fortzuführen. Es sollte aber niemand davon abgehalten werden, sich nach rechtssicheren Alternativen umzuschauen.

Home sweet Home-Office

Es ist wie der sprichwörtliche Sprung ins kalte Wasser. Die ersten Tage Home-Office fühlen sich so ganz anders an. Sonst war man höchstens zu Hause, wenn eine Grippe im Anflug war. Heute ist man zu Hause, weil besser keine Grippe kommen soll. Der Verstand rebelliert, die Gefühle versuchen Ordnung zu finden zwischen der neuen Disziplin und der Versuchung, ein wenig Urlaubsstimmung einziehen zu lassen. Wir wollen analysieren, was jetzt wichtig ist.

Das Schöne am Home-Office ist, dass ein selbstbestimmtes Arbeiten ermöglicht wird. Der nervenzerrende Arbeitsweg wird rasch zu angenehm verblassten Erinnerung. Kein Schulterblick vom Chef. Doch es gibt neue Herausforderungen. Gut ist immer, wenn die benutzte Hardware vom Arbeitgeber gestellt und sicherheitstechnisch von der IT eingerichtet wird. Trennen Sie dienstlich von privat. Sorgen Sie dafür, dass betriebliche Rechner, Firmentelefon oder USB-Stick unkompliziert verschlossen werden können. Stellen Sie den Monitor so, dass dieser nicht gleich von jedem Besucher im Zimmer eingesehen werden kann, und aktivieren Sie am Rechner die automatische Bildschirmsperre (nach 5 min). Nehmen Sie gute Manieren von der Arbeit mit nach Hause, so etwa die Clean-Desk-Policy, also alles woran nicht aktuell gearbeitet wird verschwindet vom Schreibtisch. Und wenn gerade keine Videokonferenz aktiv ist, sichert Sie ein mechanischer Webcam-Blendenschutz vor denkbaren unbefugten Zugriffen und Einblicken von außen. Denken Sie auch daran, dass vertrauliche Telefonate und Videokonferenzen nicht durch offene Fenster und Türen von unbefugten Ohren mitgehört werden können. Wenn zusätzlich viel Papier mit persönlichen Daten von Kunden benötigt oder ausgedruckt wird, gerät das abschließbare Arbeitszimmer mehr zur Pflicht als zur Kür. Ein Laserdrucker braucht entsprechenden Abstand vom Schreibtisch. Disziplinieren Sie sich, Drucksachen nicht unbeaufsichtigt im Drucker liegen zu lassen. Ein Aktenvernichter mit Schutzklasse 3 (DIN 66399) darf auch nicht fehlen. Wenn Sie Unterlagen zur Aktenvernichtung lieber sammeln wollen, sollten Sie besser über einen verschließbaren Aktenschrank nachdenken.

Für den Fall, dass Sie eine Reinigungskraft für Ihr Home-Office beschäftigen, muss das vorherige Verschließen sämtlicher Arbeitsunterlagen und der Hardware zur Routine werden. Schlüssel gehören mitgeführt, und Passwörter gehören in den Kopf oder an einen verschlossenen Ort. Andere vermeintlich sichere Verstecke am Arbeitsplatz sind tabu! Sie sollten keine Bauchschmerzen bei dem Gedanken haben, dass die Familie oder Freunde auch mal in Ihr Arbeitszimmer gehen könnten. Wird das Home-Office zur Norm, sollten Sie die Einbruchssicherheit Ihrer Privaträume verstärken. Einbruchshemmende Türen, Fenster und Jalousien können kleine Wunder leisten, da die aufzubringende Zeit der Überwindung für Sie zählt und Kriminelle es oft beim Einbruchsversuch belassen. Passen Sie ggf. Ihre häuslichen Versicherungen an und sprechen mit Ihrem Arbeitgeber, welche Risiken ggf. über dessen Versicherungen abgedeckt wären.

Die Kostenfrage entsteht übrigens auch bei der arbeitsschutzgerechten Ausstattung Ihres Arbeitsplatzes. Es ist Vereinbarungssache, wer die Kosten trägt und welche Rechte und Pflichten sich daraus ergeben. Wenn der Arbeitgeber einen vollständigen Arbeitsplatz inkl. Mobiliar bereitstellt, kann dies mit einem Kontrollrecht des Arbeitgebers in den eigenen vier Wänden verbunden sein. Die Art der Bewertung des Home-Office hängt auch davon ab, ob im Unternehmen ein Arbeitsplatz grundsätzlich noch bereit steht oder nicht. Bei allen Vereinbarungen ist ein wenig Fingerspitzengefühl angezeigt, damit sich alle Beteiligten wohl fühlen.

Es gäbe zum Home-Office sicherlich noch weitere Aspekte zu erörtern. Das neue Arbeiten muss erlernt werden um effektiv zu sein, um ungestörte Zeiten zur Konzentration einzurichten und um den zahlreichen Ablenkungen zu widerstehen. Auch die Kommunikation mit Kollegen wird sich in der Anfangszeit anders anfühlen. Die technischen Unterstützungen müssen erlernt werden bis alles zur Routine geworden ist. Kleine Rituale können helfen, den Arbeitstag positiv zu starten und mit dem Feierabend die Arbeit aus dem Kopf zu bekommen. Lehnen Sie sich zurück und schauen aus dem Fenster, werden Sie kreativ. Home-Office soll Spaß machen. Dies einzurichten haben Sie in der Hand.

Jetzt Förderprogramme nutzen

Es ist eine Win-Win-Situation, wenn die staatlichen Förderprogramme für bestimmte Dienstleistungen durch regional agierende Qualitätssicherer überprüft werden. Für Sachsen und Thüringen übernimmt z.B. die Ellipsis GmbH diese kontrollierende Aufgabe. Ihr Vorteil dabei ist, dass Sie einerseits durch die dort gelisteten Berater eine hervorragende Beratungsqualität erwarten dürfen, und zum anderen die Ausgaben bis zu 80% (anstatt oft nur 50% bei nicht geprüften Beratungsleistungen) gefördert bekommen. Wir sind gelisteter Partner bei Ellipsis.

Konkret bedeutet dies, dass Existenzgründer eine Summe von bis zu 4.000 EUR und „normale“ Unternehmer eine Summe von bis zu 3.000 EUR zu 80% im Rahmen des bundesweiten Förderprogramms zur Digitalisierung von Prozessen in den Unternehmen als kostenfreien Zuschuss gefördert bekommen. Wir kennen den notwendigen „Papierkram“ und nehmen Sie an die Hand. So können Sie sich weiter auf den Erfolg Ihres Geschäftes konzentrieren.

Grundsätzlich sind wir bundesweit aktiv und möchten auch die potentielle Einbeziehung der bei Ihnen regional verfügbaren Förderprogramme unterstützen. Für die Bundesländer Sachsen und Thüringen haben wir aber nicht nur wegen der attraktiven Fördermöglichkeiten in Zusammenarbeit mit Ellipsis einen besonderen Fokus. Die bessere örtliche Nähe zu unseren Kunden macht es weniger aufwändig, auch einmal bei Ihnen vor Ort bestimmte Situationen und Lösungsmöglichkeiten einschätzen zu können.