Der EuGH hat das EU-US-Privacy Shield-Abkommen für nichtig erklärt. Damit fehlt die häufigste Grundlage für die Übermittlung personenbezogener Daten in die USA. Die meisten US-Dienstleister dürften nicht mehr eingesetzt werden. Die Standardvertragsklauseln sind jedoch weiterhin wirksam.
“Mit seinem Urteil hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt. Die Standardvertragsklauseln sind dagegen weiterhin wirksam und können als Grundlagen für eine Datenübermittlung in die USA herangezogen werden. Der EuGH macht jedoch deutlich, dass ein anerkanntes Datenschutzniveau in den Klauseln gewahrt werden muss.” – Eileen Binder
Durch den Abschluss von Standardvertragsklauseln ist es Verantwortlichen möglich, personenbezogene Daten aus der EU in die USA zu übermitteln. Durch die Klauseln wird der Datenempfänger verpflichtet, ein dem europäischen Datenschutzniveau gleiches Schutzniveau zu garantieren. Durch das EU-US-Privacy Shield wurden weitere Garantien zur Verfügung gestellt. Zertifiziert sich ein amerikanisches Unternehmen nach dem Privacy Shield, erkennt die EU-Kommission ein ausreichendes Datenschutzniveau an.
Mit seinem Urteil hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt. Die Standardvertragsklauseln sind dagegen weiterhin wirksam und können als Grundlagen für eine Datenübermittlung in die USA herangezogen werden. Der EuGH macht jedoch deutlich, dass ein anerkanntes Datenschutzniveau in den Klauseln gewahrt werden muss. Standardvertragsklauseln US-amerikanischer Unternehmen müssen daher zunächst darauf geprüft werden. Gilt schon das Privacy Shield nicht als angemessenes Datenschutzniveau, könnte das auch für die Standardvertragsklauseln gelten.
Was können Sie tun?
Derzeit nicht viel, müsste die richtige Antwort lauten. Noch ist es zu früh, die Tragweite des Urteils ab- und einschätzen zu können. Zunächst hat das Urteil hauptsächlich Unsicherheit bei europäischen Unternehmen hervorgerufen. Für den Anfang kommen bislang folgende Schritte in Betracht:
- Prüfen Sie Ihre Datenschutzhinweise und –verträge. Klauseln, die auf das Privacy Shield verweisen, müssen herausgenommen werden.
- Fragen Sie US-Dienstleister nach EU-Servern für die Datenübermittlung und Datenverarbeitung
- Setzen Sie ggf. Datenübermittlungen an amerikanische Unternehmen aus. Vielleicht kommt alternativ ein Anbieter aus der EU / dem EWR in Betracht?
Hintergrund
Das Urteil des EuGH vom 16.07.2020 i.S. „Schrems II“ (C‑311/18) geht zurück auf den Streit zwischen dem Datenschutzaktivisten Max Schrems und Facebook. Schrems hatte zunächst Beschwerde bei der irischen Aufsichtsbehörde eingereicht. Er beanstandete, dass die von Facebook auf Grundlage der Standardvertragsklauseln übermittelten personenbezogenen Daten des europäischen Tochterunternehmens an amerikanische Server der Mutter dort nicht sicher sind und verlangte diese auszusetzen. Der irische High Court legte die Frage zur Klärung dem EuGH vor.
Und tatsächlich werden EU-Bürger durch US-amerikanische Zugriffsrechte massiv in Ihren Grundrechten auf Privatsphäre, Datenschutz und wirksame Rechtsmittel beschnitten. US-Behörden, wie z.B. die NSA, können ohne gerichtlichen Beschluss auf personenbezogene Daten von Nicht-US-Bürgern zugreifen und diese auswerten. Rechtsbehelfe dagegen haben EU-Bürger keine.
Fazit
Das Urteil des EuGH hinterlässt zunächst einmal einen unsicheren Rechtsraum. Unternehmen, die personenbezogene Daten in die USA übermitteln, müssen sich nun gut überlegen, wie sie weiter vorgehen. Die weitere Übermittlung auf Grundlage des Privacy Shields ist unzulässig. Sind mit zertifizierten Unternehmen Standardvertragsklauseln geschlossen worden, sollte dringend geprüft werden, ob die Regeln ausreichen oder verschärft werden müssen. Wer Standardvertragsklauseln mit amerikanischen Unternehmen schließen möchte, sollte sich im ersten Schritt überlegen, die Datenübermittlung bis zum Abschluss des Vertrages auszusetzen. Insgesamt ist es noch zu früh, um beurteilen zu können, welche Auswirkungen das Urteil haben wird. Sicher ist jedoch, dass sich amerikanische Unternehmen etwas einfallen lassen müssen, um das verlorene Vertrauen in die Datenübermittlung in die USA wieder herzustellen.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]