Urteil des EuGH zu US-EU-Datenschutzabkommen „Privacy Shield“ – was Sie jetzt tun müssen

22 Jul

  • in DSMS
  • von
  • 0

Als Lösung für das nun nicht mehr gültige Privacy Shield fallen zunächst Standardvertragsklauseln ins Auge. Diese wurden grundsätzlich durch den EuGH als nutzbar und weiterhin adäquat bestätigt.

Allerdings wird in der Begründung des Urteils auch klar, dass die Standardvertragsklauseln durch die Datenschutzbehörden strenger überwacht werden müssen. Und es wurde klargestellt, dass VOR der ersten Übertragung von Daten überprüft werden muss, ob die vereinbarten Garantien eingehalten werden. Und auch während des Vertragsverhältnisses muss regelmäßig die Einhaltung und Angemessenheit der Standardvertragsklauseln geprüft werden!

Wichtig zu wissen ist, dass sich der Streit um personenbezogene Daten (z.B. Namen, Fotos, usw.) dreht. Hier sorgt das Ende des „Privacy Shield“ für Handlungsbedarf bei betroffenen Unternehmen. Mancher Transfer von Nutzerdaten lässt sich aber auch mit Artikel 49 der Datenschutz-Grundverordnung (DSGVO) rechtfertigen – in bestimmten Fällen ist die Weiterleitung also auch künftig möglich; allerdings darf dabei nicht von einer regelmäßigen Übertragung ausgegangen werden – es geht um Ausnahmefälle! Ebenfalls nicht betroffen sind freiwillige Datenübertragungen von Nutzern, beispielsweise wenn EU-Bürger eine Hotelübernachtung auf einer US-Website buchen oder E-Mails ins Ausland senden.

Unternehmen, die öffentliche Verwaltung und die in ihrer Rolle gestärkten Aufsichtsbehörden „haben jetzt die komplexe Aufgabe, das Urteil praktisch anzuwenden“, verweist der Bundesdatenschutzbeauftragte Ulrich Kelber auf eine große Herausforderung. Die Kontrollinstanzen müssten „bei jeder einzelnen Datenverarbeitung“ prüfen, „ob die hohen Anforderungen des EuGH erfüllt werden“. Internationaler Datenverkehr bleibe zwar generell weiter möglich, dabei seien aber die Grundrechte der EU-Bürger zu beachten. Für den Austausch mit den USA müssten nun „besondere Schutzmaßnahmen ergriffen werden“.

Die Datenschutzbeauftragten in Deutschland und Europa müssten sich schnell verständigen, „wie mit Unternehmen umgegangen wird, die nun unzulässigerweise weiter auf das Privacy Shield setzen“. Dasselbe gelte für Firmen, die SVK für Transfers in die USA und in andere Drittstaaten nutzten. Dabei werde sich etwa auch bei China oder Großbritannien mit Blick auf den Brexit „die Frage der zulässigen Datenübermittlung stellen“. Der Thüringer Datenschutzbeauftragte Lutz Haase meinte, er wisse nicht, wie im Fall von Transfers in die USA noch „ein EU-datenschutzkonformes Prüfergebnis zustande kommen soll“.

 

Datenschutzbehörden seien aber verpflichtet, Übermittlungen von Daten auszusetzen oder zu verbieten, wenn sie der Auffassung sind, dass jene Klauseln im Empfängerland praktisch nicht eingehalten werden oder nicht eingehalten werden können. Es hängt also vom Einzelfall ab, ob das Datenschutzniveau im Empfängerland gesichert ist und Unternehmen die Klauseln wirklich für sich nutzen können.

Zum anderem erlässt die EU-Kommission auch sogenannte Angemessenheitsbeschlüsse. Solche Beschlüsse gibt es derzeit für rund ein Dutzend Länder – etwa die Schweiz, Israel und Kanada.

Wer bislang allein auf das Privacy Shield gebaut habe, muss nun auf andere Verfahren umstellen, sonst „droht ein Datenchaos“.

Unmittelbar betroffen sind rund 5000 Unternehmen, die sich bei ihren Datenübertragungen in die USA auf den „Privacy Shield“ berufen. Zum Teil geht es den Firmen darum, dass sie Daten zwischen mehreren Standorten austauschen können. Haben sie sich bisher nur auf den „Privacy Shield“ verlassen, werden sich jene Unternehmen nun nach einer alternativen Grundlage für ihre Datenübertragungen umschauen oder diese einstellen müssen.

Der Bundesverband IT-Mittelstand vermag der Entscheidung auch etwas Gutes abzugewinnen: Sie könne „den Weg dahin ebnen, dass Datensicherheit als Wettbewerbsvorteil für Europa erkannt wird“. Microsoft meinte, gewerbliche Kunden dürften die Dienste des Unternehmens im Einklang mit dem europäischen Recht weiterhin nutzen: „Das Urteil des Gerichtshofs ändert nichts daran, dass Sie heute Daten zwischen der EU und den USA über die Microsoft-Cloud übertragen können.“ Man biete den Kunden seit Jahren einen überlappenden Schutz im Rahmen der SVK und des Privacy Shield.

Interessant in diesem Zusammenhang ist, dass das Department of Commerce in den USA weiterhin an Privacy Shield festhalten will. Nicht aus Ignoranz des EuGH-Urteils, sondern um US-Unternehmen weiterhin eine Verfahren zu ermöglich, die Einhaltung des EU-Datenschutzniveaus freiwillig zu demonstrieren.

Fazit: Kurzfristig sollten Unternehmen, die von der Thematik betroffen sind, ihre internen wie externen Datenflüsse genau unter die Lupe nehmen und prüfen, auf welcher Grundlage ein Transfer in nicht-EEA-Länder oder Länder die ein der EU vergleichbares Datenschutzniveau besitzen fusst.

Machen Sie eine Inventur Ihrer Datendienstleister und erkundigen sich aktiv bei Ihren Dienstleistern nach den vorhandenen Datenschutzstandards und nehmen diese in die Verträge auf. Diese Standardvertragsklauseln sind weiter zulässig, allerdings müssen auch diese aktiv überprüft werden!

Ebenso ist die Anwendung von Binding Corporate Rules möglich, allerdings ist der Zulassungsprozess bei den Datenschutzbehörden meist mühsam. Art. 49 der DSGVO kann in Ausnahmefällen -und nur in solchen- Anwendung finden. Dies sollte aber durch die Anwender genau dokumentiert und begründet werden. Ein Dauerausnahmezustand lässt sich davon nicht ableiten.

Offizielle Informationen:

BESCHLUSS DER KOMMISSION – vom 5. Februar 2010

über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates – (Bekannt gegeben unter Aktenzeichen K(2010) 593) – (Text von Bedeutung für den EWR) – (2010/87/EU)

 

Gerichtshof der Europäischen Union PRESSEMITTEILUNG Nr. 91/20 Luxemburg, den 16. Juli 2020

 

Wir freuen uns auf Ihre Kontaktaufnahme!

 

 

 

Quellennachweis:

https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf, 16.07.2020
https://www.spiegel.de/netzwelt/netzpolitik/europaeischer-gerichtshof-kippt-umstrittene-datenschutzvereinbarung-privacy-shield-a-6344510a-cbe2-482d-b354-6561af8c4ac7, 16.07.2020
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087&from=DE&lang3=DE&lang2=DE&lang1=DE, 16.07.2020
https://www.zeit.de/news/2020-07/16/eugh-kippt-eu-us-datenschutzvereinbarung-privacy-shield
https://www.sueddeutsche.de/digital/privacy-shield-schrems-facebook-1.4968965, 16.07.2020

 

Bildnachweis: Symbol for a decision of the European Court of Justice. The German abbreviation „EuGH“ (stands for European Court of Justice ECJ) written on cubes placed on a newspaper. Getty Image auf Canva

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.