Die Büchse der Pandora ist geöffnet: Unternehmen in der Umsetzung des EuGH-Urteils ahnungslos

25 Sep 2020

Die Büchse der Pandora ist geöffnet: Unternehmen größtenteils ahnungslos im Umgang mit EU-US Datentransfers

Nach dem Urteil des Europäischen Gerichtshofs in der Rechtssache C-311/18 ("Schrems II") zu Privacy Shield und Standardvertragsklauseln haben das noyb-Team und einige unserer Mitglieder bei 33 Unternehmen und Dienste, die sie persönlich nutzen, nachgefragt, wie sie mit internationalen Datentransfers umgehen. Die erhaltenen Antworten reichen von zufriedenstellend über schlecht bis hin zu schockierend. Wir haben jetzt einen Bericht für die Öffentlichkeit zusammengestellt, der diese Antworten im Einzelnen aufführt.

  • Die Antworten aller Unternehmen, von A wie Airbnb bis Z wie Zoom, sind in diesem 45-seitigen Bericht zu finden (PDF)
  • Pressemitteilung (PDF)

Nachdem der EuGH bereits zum zweiten Mal über Datentransfers zwischen der EU und den USA entschieden hat (nach dem Ende von "Safe Harbor" im Jahr 2015), haben wir uns gefragt, ob die Unternehmen jetzt besser gerüstet sind, um mit den DSGVO-Regeln für internationale Datentransfers umzugehen. Nutzer haben ein Recht darauf, detaillierte Informationen darüber zu erhalten, wohin ihre Daten übermittelt wurden. Dementsprechend wurde der folgende Text zwischen Juli und September 2020 an die jeweiligen Unternehmen übermittelt:

"Sehr geehrte Damen und Herren,
 

Ich bin einer Ihrer Kunden. In Übereinstimmung mit den Artikeln 12, 13, 14 und 15 DSGVO stelle ich folgenden Anfrage:

  • Übermitteln Sie Daten außerhalb der EU? Wenn ja, in welche Länder?
  • Auf welche Rechtsgrundlage stützt sich diese Übermittlungen (z. B. Entscheidung über die Angemessenheit, SCCs, BCRs, Ausnahmen...)? Wenn Sie SCCs oder BCRs verwendet haben, legen Sie bitte für jede Übertragung eine Kopie der verwendeten SCCs oder BCRs vor.
  • Wenn Sie personenbezogene Daten in die USA übermitteln, fällt einer Ihrer Partner unter 50 USC §1881a ("FISA 702") oder stellt er der US-Regierung Daten gemäß EO 12.333 zur Verfügung?
  • Falls Sie personenbezogene Daten in die USA senden, welche technischen Maßnahmen ergreifen Sie, damit meine personenbezogenen Daten während der Übermittlung nicht von der US-Regierung abgefangen werden

Bitte antworten Sie innerhalb einer Woche, nachdem die DSGVO verlangt, dass Sie "unverzüglich" antworten. Dies ist eine einfache Anfrage, die keine umfangreiche Analyse meiner Daten erfordert. Eine weitere Identifizierung über meine E-Mail hinaus scheint nicht notwendig zu sein, da ich keine Kopie meiner persönlichen Daten verlange. Sollten Sie weitere Informationen benötigen, zögern Sie bitte nicht, mich zu kontaktieren.

Mit freundlichen Grüßen, [Name]

Erstaunliche Antworten - oder gar keine Antwort. Die Antworten waren insgesamt verblüffend. Einige Unternehmen wie Airbnb, Netflix und WhatsApp haben auf unsere Anfragen überhaupt nicht reagiert. Andere Unternehmen haben uns einfach ihre Datenschutzerklärungen weitergeleitet, wo die relevanten Informationen jedoch nicht zu finden waren.

Viele Antworten führten zu wenig Klarheit: Slack (eine sehr beliebte Software für die interne Kommunikation in Unternehmen)  gab an, dass sie Regierungen nicht „freiwillig“ Zugang zu Daten gewähren – was jedoch nicht die Frage beantwortet, ob sie nach Überwachungsgesetzen wie FISA702 gezwungen werden, Daten offenzulegen.

Andere Unternehmen schnitten mit ihren Antworten besser ab, wie z.B. Microsoft, die auf jede gestellte Frage eine Antwort gaben, oder Virgin Media, die uns eine Kopie ihrer Standardvertragsklauseln zukommen ließen. Gleichzeitig behauptet Microsoft immer noch, dass sie persönliche Daten in die USA übermitteln dürfen (Link zu Microsofts Blog), obwohl Microsoft in den von Edward Snowden offengelegten Dokumenten ausdrücklich genannt wird und auch offen zugibt, Daten nach FISA702 an die US-Regierung zu übergeben.

Insgesamt waren wir erstaunt, wie viele Unternehmen nicht mehr als eine Standardantwort geben konnten. Es scheint, dass der größte Teil der Unternehmen immer noch keinen Plan hat, wie es weitergehen soll.

Möchtest du eine ähnliche Anfrage an die Unternehmen und Dienste richten, die du nutzt? Gerne kannst du diese Vorlagen verwenden!