Folgen des EuGH Urteils „Schrems II“ vom 16.7.2020

Am 16.07.2020 erfolgte die Entscheidung des Europäischen Gerichtshofes „Schrems II“ (C-311/18). Diese setzt den vorläufigen Schlußpunkt unter eine seit mehreren Jahren andauernde Diskussion um Datentransfers in die USA. Dieses Urteil hat auch weitreichende Auswirkungen auf die Vereinsarbeit und die Nutzung moderner EDV-Systeme.

Um was geht es genau?

Seit 2016 bestand der „Privacy Shield“, eine Vereinbarung zwischen der EU und den USA, die sicherstellen sollte, dass US-Firmen, die sich nach dem Privacy Shield zertifizieren lassen, ein dem europäischen Datenschutz entsprechendes Niveau des Schutzes für Daten europäischer Bürger sicherstellen. Parallel gibt es als Grundlage für einen legalen Datentransfer in die USA noch die Standardvertragsklauseln (SVK oder SCC genannt). Auch diese sollen ein dem europäischen Datenschutz angemessenes Datenschutzniveau sicherstellen.

Sehr viele Firmen wie z.B. Apple, Microsoft, Google und facebook haben diese genutzt und nach aussen in Ihren AGB/Datenschutzerklärungen angegeben, dass sie europäische Daten entsprechend schützen.

Der Europäische Gerichtshof hat am 16.6.2020 jetzt verbindlich festgestellt, dass die US-Regierung entgegen dieser Zusagen des Privacy Shields den dortigen Geheimdiensten und Behörden zu weitreichende Überwachungs- und Abhörbefugnisse erteilt hat und damit für die Daten europäischer Bürger kein sinnvoller Schutz gegeben ist, sofern diese von US-Unternehmen bearbeitet, gespeichert oder weitergeleitet werden.

Unter anderem müssen nach dem „Cloud Act“ sämtliche US-Firmen den Behörden alle Daten von Nicht-US Bürgern zugänglich machen, auch wenn diese sich auf Servern ausserhalb der USA befinden.

Was bedeutet dieser Umstand nun für den Nutzer?

De Facto ist seit dem 16.07.2020 keine Grundlage mehr vorhanden, Daten an eines der unter Privacy Shield arbeitenden US-Unternehmen zu übertragen oder dort zu speichern. Auch die Standardvertragsklauseln taugen nicht mehr zur Datenübertragung, da man hier im Vorfeld der ersten Datenübertragung ein DSGVO-gemäßes Sicherheitsniveau im Drittstaat sicherstellen muß.

Eine detaillierte Erklärung finden Sie in der Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Maja Smoltczyk, vom 17.07.2020 (https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf).

Das bedeutet, dass die Nutzung von Cloud-Diensten wie Microsoft 365, Google Docs, Google Cloud, der „iCloud“ von Apple, Zoom, WebEx, Microsoft Teams, GotoWebmeeting sowie Betriebsystemen wie Windows 10 derzeit NICHT rechtmäßig möglich ist, da man damit höchstwahrscheinlich einen strafbaren Verstoß gegen europäisches Recht begeht.

Mit dem Urteil vom 16.06.2020 hat der EuGH auch verfügt, dass die lokalen Behörden Verstöße sofort zu unterbinden und zu sanktionieren haben. Das kann erhebliche finanzielle Folgen für die Nutzer haben. Eine Schonfrist für die Umsetzung gibt es ausdrücklich NICHT.

Am Beispiel Microsoft möchte ich dies näher erläutern.

Seit Jahren schon bemängeln Datenschützer, daß Windows 10 und die darauf aufbauenden Server-Betriebssysteme ab Version 2016 verschlüsselt Daten in die USA übertragen. Dieses Verhalten kann selbst mit erheblichem finanziellem und technischem Aufwand nicht abgestellt werden. Was übertragen wird, ist weitgehend unbekannt.

In den Datenschutzerklärungen von Microsoft wird keine der DSGVO konforme Erklärung und Rechtfertigung für dieses Verhalten abgegeben. Einfluss auf diesen Datenabfluss hat der Nutzer nur marginal.

Eine Grundregel aus dem Urteil lautet, dass der Datenexporteur (also Sie, der Nutzer) VOR dem ersten Einsatz einer us-amerikanischen Lösung (egal ob mit EU-Servern oder nicht) sicherzustellen hat, dass die übermittelten Daten mindestens mit europäischem Standard geschützt werden. Dies müssen Sie nachweisen können. Es reicht also nicht, die Versprechen der Anbieter abzuschreiben. Dies gilt ebenso für die Nutzung der Standardvertragsklauseln (SCC/SVK).

Seit dem 16.07.2020 ist dieses Verhalten, ohne informierte Einwilligung und DSGVO-konforme Absicherung Daten in ein Drittland zu übertragen, ein fortgesetzter Verstoß gegen die DSGVO und damit für den Nutzer strafbar.

Daraus folgt, dass die Nutzung von Windows ab Version 10, Windows Server ab 2016, Teams, Skype, Office 365 usw. derzeit sehr wahrscheinlich eine sanktionierbaren Verstoß darstellt und man sich umgehend nach Alternativen umsehen sollte.

Beispiel: Gesetzt den Fall, ein Teilnehmer eines Microsoft Teams Onlineseminars zeigt den Durchführenden an, drohen nach dem oben genannten Gerichtsurteil „abschreckende Strafen“, da diese nach europäischem Recht ausdrücklich gefordert werden.

Einziger Ausweg ist der Nachweis, dass Microsoft die übertragenen Daten entsprechend EU DSGVO vor amerikanischen Behörden schützen kann. Viel Spaß dabei. Mir ist noch niemand bekannt, der das konnte.

Natürlich werden jetzt nicht Horden von Datenschützern an jeder Tür klingeln und Strafbefehle für die Nutzer von Windows 10 verteilen. Dafür wäre niemals genug Personal da.

Allerdings wird vom EuGH ausdrücklich gefordert, unzulässige Datenübertragungen sofort zu unterbinden. Das heißt, sollte Sie jemand anzeigen, wird dies sicher Konsequenzen haben.

In erster Linie werden Behörden, Schulen und Betriebe in nächster Zeit massive Anstrengungen unternehmen müssen, um Ihre IT entsprechend umzustellen.

Für Vereine heißt dies, möglichst schnell Alternativen zu prüfen und sich fachmännischen Rat einzuholen. Denn wie schon bei der Einführung der DSGVO zählt auch bei der Bemessung eventueller Strafen jede Bemühung, Schaden einzugrenzen.

 

Alternativen

Unsere Empfehlung ist derzeit:

-Windows 7 oder maximal Windows 8.1 entsprechend abzuhärten und einzusetzen.

-Im Idealfall Linux basierte Systeme einzusetzen.

-Als Office Alternative empfehlen wir Freeoffice der Nürnberger Firma Softmaker, welches zudem noch kostenlos für bis zu drei Rechner ist.

-Für Videokonferenzen empfehlen wir Jitsi, Nextcloud Talk oder BigBlueButton, möglichst auf einem eigenen Server bzw. bei einem EU ansässigen Anbieter, welcher die DSGVO möglichst gut umsetzt.

-Als Cloud (Microsoft 365/Google Cloud/iCloud) Ersatz empfehlen wir Nextcloud Hub, ebenfalls möglichst auf einem eigenen Server. Ist bereits bei vielen Onlineauftritten sehr einfach installierbar. Diese bietet Dateiablage und -austausch, gemeinsame Kalender, Notizen, Kontakte und vieles mehr.

 

Für Rückfragen stehen wir gerne zur Verfügung