#

zur Blogübersicht

EuGH kippt Privacy Shield – Was Unternehmen nun beachten müssen

Juli 31, 2020

Nun ist es offiziell,

der Europäische Gerichtshof (EuGH) erklärte mit Urteil vom 16.07.2020 das im Jahr 2016 als Nachfolger des sog. Safe-Harbor-Abkommen beschlossene EU-US Privacy-Shield, welches  eine datenschutzkonforme Übermittlung personenbezogener Daten in die USA sicherstellen sollte, für ungültig. Das Urteil, sowie weiterhin mögliche Alternativen für die Übermittlung personenbezogener Daten außerhalb der EU bzw. EWR, sollen im Folgenden kurz umrissen werden.

Das Urteil

Das vor Kurzem ergangene, 48-Seiten lange, Urteil des EuGHs kam für jemanden, der sich regelmäßig mit der Materie Datenschutz beschäftigt, tatsächlich nicht sehr überraschend, da die gegen das Privacy Shield vorgebrachte Kritik bereits dieselben Punkte umfasste, wie sie bereits unter dem Geltungsbereich des Safe-Harbor-Abkommens, was bereits im Oktober 2016 durch den EuGH gekippt wurde, vorgebracht worden sind.

Kurz gesagt wurde die Übermittlung personenbezogener Daten in die USA, was praktisch immer erfolgt sobald Dienstleister in Anspruch genommen werden, die dort ihren Unternehmenssitz haben, auf Grundlage des Privacy Shields für rechtswidrig erklärt und zwar mit sofortiger Wirkung. Der Grund für diese Entscheidung ist primär, dass das US-amerikanische Recht im Vergleich zu Europa kein dem Recht der EU angemessenes Datenschutzniveau und damit gleichwertigen Schutz der Betroffenen bietet und den amerikanischen Behörden umfassende Zugriffsrechte auf personenbezogene Daten eingeräumt wird (z. B. durch den Cloud-Act).

Alternativen?

Soweit zur aktuellen Rechtslage. Nun stellt sich natürlich die Frage ob und wenn ja welche Alternativen vorhanden sind, um weiterhin personenbezogene Daten aus der EU bzw. des EWR in die USA übermitteln zu können. Zwar gibt es neben dem Privacy Shield noch andere Instrumentarien, um einen Transfer zu legitimieren, z. B. Standardvertragsklauseln, allerdings greifen auch bei diesen die durch den EuGH in seiner Urteilsbegründung aufgezeigten Bedenken, da auch hierdurch nicht einfach das US-Amerikanische Recht ausgeschlossen werden kann. Die Gefahr, dass Betroffenenrechte auch bei Verwendung der Klauseln nicht in ausreichendem Maße sichergestellt werden können, ist also auch hier gegeben.

Entsprechend muss laut dem Europäischen Datenschutzausschuss (EDSA) in jedem Einzelfall geprüft werden, ob dennoch ein angemessenes Schutzniveau für die Daten gewährleistet werden kann, etwa durch die Umstände der Übertragung oder sonstige Schutzmaßnahmen. Ist dies nicht der Fall, ist ein solcher Transfer umgehend zu unterbrechen bzw. einzustellen. Erfolgt keine Einstellung ist die für das Unternehmen zuständige Datenschutz-Aufsichtsbehörde zu informieren.

Handlungsempfehlungen

Wie Unternehmen unter Berücksichtigung des Urteils nun aber vorgehen sollen, um mögliche Bußgelder zu vermeiden, darüber schweigen sich sowohl der EuGH, als auch der EDSA weitgehend aus. Was also können Unternehmen aktuell tun? Im besten Fall jeglichen Transfer von personenbezogenen Daten in die USA einstellen, was in der heutigen global vernetzten Welt jedoch utopisch erscheint.

Zunächst sollten also sämtliche Verarbeitungen, bei denen Dienstleister eingebunden werden, ermittelt werden. Sodann ist zu prüfen, ob diese oder deren Subunternehmer ihren Sitz in den USA haben und, falls zutreffend, ein Wechsel zu einem europäischen Dienstleister in Betracht gezogen werden.

Leider gibt es in vielen Bereichen jedoch keine europäischen Alternativen, so dass Unternehmen in vielen Fällen weiterhin auf die Nutzung amerikanischer Dienstleister angewiesen sind. Prominentestes Beispiel ist hier wohl die cloudbasierte Software Microsoft 365, früher Office 365, deren Nutzung seit dem EuGH-Urteil nunmehr auch bestenfalls als problematisch anzusehen ist.

Geht aus den mit den Dienstleistern geschlossenen Verträgen eine Übermittlung von Daten auf Grundlage des Privacy Shields hervor, sollte eine Kontaktaufnahme mit dem Anbieter erfolgen, um, sofern noch nicht vorliegend, Standardvertragsklauseln zu vereinbaren. Auch dies ist wie bereits ausgeführt keine in Gänze rechtssichere Variante, allerdings sind die Klauseln bisher nicht für unwirksam erklärt worden, so dass diese zumindest vorübergehend wohl noch genutzt werden können. Wenn möglich sollte das Maß der übertragenen Daten jedoch auf ein Minimum reduziert und geprüft werden, ob durch zusätzliche Maßnahmen (Pseudonymisierung, Verschlüsselung, etc.) ein angemessenes Datenschutzniveau sichergestellt werden kann.

Einzig die Möglichkeit der Einholung einer Einwilligung, in welcher Betroffene klar und ausdrücklich auf den fehlenden Rechtsschutz ihrer Daten hingewiesen werden, dürfte derzeit wohl die einzige Möglichkeit für einen rechtskonformen Transfer darstellen. Leider ist eine solche oft nicht praktikabel und in manchen Konstellationen sogar unzulässig.

Fazit

Eine in Gänze rechtssichere Möglichkeit für den Transfer personenbezogener Daten in die USA aufgrund gesetzlicher oder vertraglicher Regelungen gibt es derzeit in den meisten Fällen wohl nicht. Dies wird sich auch erst dann ändern, wenn entweder die EU oder die USA hier einlenken. Praktisch ist Unternehmen momentan zu raten bei Transfers personenbezogener Daten, welche auf Grundlage des Privacy Shields erfolgt sind, einzustellen bzw., sofern nicht möglich, mit den entsprechenden Anbietern Standardvertragsklauseln der EU abzuschließen.

Aktuelle Beiträge

Löschung von Cannabis-Vorstrafen: Amnestieregelung

Sie wurden nach früherer Rechtslage wegen des Umgangs mit Cannabis verurteilt und möchten nun den Eintrag im Bundeszentralregister und im Führungszeugnis entfernen lassen? Mit dem Inkrafttreten des § 40 Konsumcannabisgesetze (KCanG) am 1. Januar 2025 öffnete sich für...