News



Privacy-Shield-Urteil des Europäischen Gerichtshofs:
Was Sie als Unternehmer jetzt wissen und tun sollten



© pixs:sell - https://stock.adobe.com/de/118081299


Der Europäische Gerichtshof (EuGH) hat das Privacy-Shield-Abkommen mit den USA für ungültig erklärt (EuGH, 16.7.2020 – C-311/18, “Schrems II”). Dies hat für europäische Unternehmen weitreichende Folgen, da es den Datenaustausch zwischen der EU und den USA geregelt hatte. Anbieter wie Google oder Facebook stehen vor einem großen Problem, wenn sie Daten der EU-Bürger in den USA verarbeiten wollen. Europäische Unternehmer müssen nun darauf reagieren.


Zwei Aussagen der Entscheidung des EuGHs Der Gerichtshof stellte fest, dass sog. Standardvertragsklauseln zur Datenübertragung ins Ausland nicht per se gegen die Charta der Grundrechte der Europäischen Union (EU) verstoßen. Diese nutzt z. B. Facebook für die Datenübertragung zwischen der EU und den USA. Das Datenabkommen "Privacy Shield" zwischen den USA und der EU erklärt der EuGH hingegen für ungültig. Denn durch die mannigfaltigen Zugriffsberechtigungen, die es US-Behörden ermöglichen, auf personenbezogene Daten von EU-Bürgern zuzugreifen, ist ein ausreichender Schutz personenbezogener Daten nicht gegeben. In Europa kann es nach Ansicht der Richter innerhalb der EU ähnliche Fälle geben, dass kein ausreichender Schutz personenbezogener Daten vorhanden ist. Aber in diesen Fällen kann man als EU-Bürger gerichtlich hiergegen vorgehen. In den USA ist dies nicht der Fall.


Was bedeutet "Privacy Shield"?

Als das "Safe Habor"-Abkommen zum Datenaustausch zwischen den USA und der EU vor dem EuGH bereits 2015 gescheitert war, wurde ein neues Abkommen zwischen der EU und den USA geschlossen. Mit diesem sog. Privacy Shield wurde geregelt, dass europäische Unternehmen personenbezogene Daten unter einem bestimmten Schutzniveau in die USA übermitteln dürfen. Denn nach der geltenden Europäischen Datenschutz-Grundverordnung (DSGVO) dürfen im Ausland nur personenbezogene Daten gespeichert und verarbeitet werden, wenn die Datenschutzvorkehrungen in jenem Land ähnlich hoch sind. Gemäß dem amerikanischen Foreign Surveillance Act (FISA) dürfen CIA, NSA, FBI u. a. jedoch ohne richterlichen Beschluss die Daten ausländischer Nutzer auswerten.


Was bedeuten Standardvertragsklauseln?

Mit sog. Standardvertragsklauseln erklären die jeweils betroffenen Parteien, dass es auch im Nicht-EU-Ausland einen angemessenen Schutz für personenbezogene Daten von EU-Bürgern gibt. Diese gelten daher als einfach anwendbares Mittel, um DSGVO-konform personenbezogene Daten ins Ausland übermittelt zu können. Allerdings hat der EuGH in dem Urteil die Anwendbarkeit der Standardvertragsklauseln stark eingeschränkt und klargestellt, dass EU-Unternehmen nicht mehr blind auf die Klauseln vertrauen dürfen. Vielmehr müssen nun EU-Unternehmen prüfen, ob der Datenschutz vom Anbieter tatsächlich gewährleistet werden kann.


Die Lösung über Standardvertragsklauseln ist nicht perfekt. Jedoch ist es rechtlich sicherer, wenn Klauseln vorhanden sind bzw. abgeschlossen wurden, als eine Datenübertragung ohne Ermächtigungsgrundlage. Das Urteil hat keine unmittelbare Auswirkung auf Datentransfers in andere Länder außerhalb der EU. Gleichwohl stützen sich die z. B. Indien, Vietnam, Russland oder China auch auf Standardvertragsklauseln und da das Datenschutzniveau dort auch nicht gleichwertig ist, wird ein Datentransfer in solche Länder ggf. ebenfalls problematisch.


Was ist nun für Unternehmer zu tun?

Zunächst ist es wichtig aktiv aufzuarbeiten, welche Datenschutzstandards beim jeweiligen US-Dienstleister zur Anwendung kommen (Sachverhaltsanalyse). Ebenfalls auf dem Prüfstand stehen Datentransfers in ein Drittland außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR). Konkret ist zu klären, ob der Datenschutz dort ein vergleichbares Niveau hat wie in der EU. Es sollten keine US-Dienstleister oder Dienstleister mit US-Subunternehmer in den USA eingesetzt werden, die Daten in den USA verarbeiten bzw. dessen Server in den USA stehen. US-Anbieter wie Amazon Web Services und Microsoft bieten an, dass Daten auf EU-Servern gespeichert werden. Soweit jedoch Standardvertragsklauseln als Grundlage zur Übermittlung von Daten in die USA für EU-Kunden angeboten werden, sollten diese genutzt werden. Entsprechend der Sachverhaltsanalyse, die jetzt durchzuführen ist, müssen Verträge und Datenschutzhinweise angepasst werden. Insbesondere sind in Vertragsverhältnissen und Datenschutzerklärungen nach dem Urteil des EUGH Hinweise auf das Privacy-Shield zu entfernen.


Wie geht es weiter? Sollte man Abwarten?

Die grundsätzliche Situation ist nicht allzu neu. Als im Jahr 2015 mit dem Safe-Harbor-Abkommen der Vorgänger des Privacy-Shields aufgehoben wurde, dauerte es fast ein halbes Jahr bis die EU mit dem „Privacy Shield“ eine neue Regelung präsentiert hatte. Die US-Regierung und die EU-Kommission haben bereits Gespräche über die Neuregelung für die Datenübermittlung über den Atlantik begonnen. Allerdings spricht die politische Großwetterlage in den USA derzeit gegen die Wahrscheinlichkeit einer schnellen Einigung. In der Fachöffentlichkeit wird das EuGH-Urteil nun ausgewertet. Die Aufsichtsbehörden werden Empfehlungen oder Leitlinien zum Umgang mit dem Urteil veröffentlichen. Dabei ist davon auszugehen, dass den Unternehmen seitens der Aufsichtsbehörden eine gewisse Übergangszeit eingeräumt wird, um die Datenverarbeitungen und Vertragsbeziehungen anzupassen oder umzustellen. Nach dieser – unbekannten - Übergangszeit dürften dann weiterhin bestehende Datenschutzverstöße mit Sanktionen geahndet werden. Diese Übergangszeit sollte daher dringend genutzt werden, um nicht von Datenschutzbehörden oder Kunden bzw. Nutzern sowie anderen Betroffenen zur Einstellung von Datentransfers in die USA aufgefordert zu werden. Das Risiko einfach abzuwarten bis – irgendwann einmal - ein neues Datenschutzabkommen zu Stande kommt, ist zu groß.


Mit dem Datenschutzinspektor erstellen wir eine aktuelle, datenschutzkonforme Datenschutzerklärung. Das Datenschutzpaket Gold gewährleistet durch die regelmäßige Überprüfung Ihrer Website, dass Sie als Unternehmer immer auf der sicheren Seite sind.