Das Urteil des Europäischen Gerichtshofs hat einen direkten Einfluss auf Schulen und deren Nutzung von digitalen Diensten
Bereits 2015 hatte der Europäische Gerichtshof (EuGH) die sog. Safe-Harbour-Vereinbarung für ungültig erklärt, auf deren Grundlage amerikanische Dienstleister wie Facebook Daten in die USA übermittelten. Die Unterzeichner garantierten ein „angemessenes Schutzniveau“ für die Nutzerdaten, der EuGH sah dies nicht gewährleistet. Das Nachfolgeabkommen von Safe Harbour war der Privacy Shield, auf dessen Grundlage nun weiterhin Daten aus der EU durch amerikanische Anbieter in die Vereinigten Staaten übermittelt wurden. Es erfolgte eine erneute Klage vor dem EuGH, da aus Klägersicht auch unter dieser Vereinbarung europäische Daten nicht vor dem Zugriff durch amerikanische Bundesbehörden geschützt seien.
Der EuGH gab am 16.07.2020 auch dieser Klage recht und erklärte das Privacy Shield-Abkommen für ebenfalls ungültig, da grundsätzlich bei der Übertragung von Daten europäischer Verbraucher in ein Drittland ein der DSGVO entsprechendes Schutzniveau gewährleistet sein müsse. Dies sei aufgrund der herrschenden Gesetzgebung in den USA nicht der Fall; insbesondere hätten europäische Verbraucher keine Klagemöglichkeit, sollten sie den missbräuchlichen Gebrauch ihrer Daten vermuten.
Welche Auswirkungen hat das für Nutzer in der EU?
De facto würde dies bedeuten, dass nun zunächst keinerlei Nutzerdaten aus der EU mehr in die USA übertragen und dort verarbeitet werden dürfen, mit entsprechenden Folgen für die zahlreichen in der EU aktiven amerikanischen Dienstleister wie Facebook, Google, Microsoft, Apple etc.
Einen Ausweg könnten sog. EU-Standardvertragsklauseln bilden, insofern bei der Übermittlung personenbezogener Daten das in der EU verlangte Schutzniveau eingehalten wird. Die betroffenen Unternehmen können dann einen EU-Standardvertrag abschließen, indem sie letzteres garantieren. Ob eine solche Garantie allerdings innerhalb der US-Gesetzgebung überhaupt möglich ist, müssen die Unternehmen selbst sicherstellen und dies scheint in Anbetracht der weitreichenden Befugnisse, die der US-Cloud Act amerikanischen Bundesbehörden einräumt, äußerst fraglich.Darüber hinaus ist es innerhalb der Regelungen der DSGVO möglich, branchenspezifische Verhaltensregeln für den Datenschutz aufzustellen, welche dann von den EU-Datenschutzbehörden genehmigt werden müssen. Diesen Verhaltensregeln müssen sich dann Unternehmen aus Drittländern wie den USA unterwerfen. Auch dies scheint angesichts der in den USA herrschenden Rechtslage und des dort niedrigeren Datenschutzniveaus sehr unwahrscheinlich.
Nutzung amerikanischer Dienste unvereinbar mit der DSGVO
Zusammenfassend hat das Urteil des EuGH noch einmal die Unvereinbarkeit der europäischen DSGVO mit der amerikanischen Gesetzgebung unterstrichen. Entgegen der gemachten Zusagen diverser amerikanischer Dienstleister, sie könnten Datensicherheit gemäß der DSGVO garantieren, ist ihnen dies aufgrund der amerikanischen Rechtslage kaum möglich. So lange es kein verbindliches bilaterales Abkommen über den Austausch personenbezogener Daten zwischen den USA und der EU gibt, welches die Daten von EU-Bürgern vor dem Zugriff amerikanischer Bundesbehörden rechtswirksam schützt, bleibt die Verwendung bestimmter Dienste wie z.B. Zoom, MS Teams, WhatsApp, Office 365 oder Teams durch Schulen oder Unternehmen ein erhebliches Risiko.
Welchen Ausweg gibt es?
Alle Education Cloud-Lösungen sind garantiert DSGVO-konform. Wir schließen individuelle Datenverarbeitungsverträge mit unseren Kunden ab und verpflichten uns rechtlich, die Daten unserer Kunden weder weiterzugeben noch weiterzuverarbeiten. Wir hosten entweder „on premise“ oder auf unseren eigenen Servern in der Schweiz und haben unseren Firmenhauptsitz in der Schweiz. Somit sind alle Kundendaten hundertprozentig vor dem Zugriff durch amerikanische Bundesbehörden geschützt! Somit müssen sich Schulen als Normadressat der DSGVO nicht in eine rechtliche Grauzone begeben und sind definitiv auf der sicheren Seite.
