Du bist auf der Suche nach etwas?

Gib ein Wort ein und lass dich erleuchten.

privacy_shields_eugh_Urteil_blog

Das Ende des „Privacy Shield“: Was das neue EuGH-Urteil bedeutet


Der sogenannte EU-US Datenschutzschild wurde in einem lang erwarteten Urteil vom Europäischen Gerichtshof (EuGH) am 16. Juli 2020 gekippt. Das Privacy-Shield-Abkommen ist nun für ungültig erklärt worden und somit wurden die Anforderungen an die Sicherheit von Datentransfers um einiges verschärft. Das kürzlich gefällte Urteil des EuGH erschwert nun den Datenfluss in die USA, damit Sicherheitsbehörden künftig nicht mehr auf europäische Daten zugreifen können. Davon ist nun auch die deutsche Wirtschaft unmittelbar betroffen, denn es geht um alle europäischen Unternehmen, die Daten in die USA übermitteln. Wir erklären euch, was genau der Privacy Shield war, weshalb das Abkommen von Anfang an als umstritten galt und welche Konsequenzen das Urteil für das tägliche Arbeiten in Gastronomie und Hotellerie hat.

Eine kurze Geschichte zum Privacy Shield

Das in der EU geltende Datenschutzrecht fordert für eine Übermittlung personenbezogener Daten ein gewisses, mit EU-Recht vergleichbares, Schutzniveau in den Drittstaaten, in die die Daten übertragen werden. Das US-amerikanische Recht hat allerdings nicht annähernd schützende Regelungen wie es der EU-Standard ist. Um dennoch einen Datenverkehr zwischen der EU und den Vereinigten Staaten zu ermöglichen, wurde 2000 das Safe-Harbor-Abkommen beschlossen, das US-amerikanischen Unternehmen erlaubte, dem Safe Harbor – in Form einer Liste – beizutreten. Bei Beitritt verpflichteten sich diese Firmen, die Safe Harbor Principles einzuhalten und ein gewisses datenschutzrechtliches Schutzniveau aufrechtzuerhalten.

Der Safe-Harbor-Beschluss ermöglichte also, dass Unternehmen personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem EU-Mitgliedsstaat in die USA übermitteln konnten.

2013 wurde beim EuGH dann ein Verfahren initiiert, das die Übermittlung personenbezogener Daten durch Facebook in die USA prüfen sollte. In der Kritik stand der nicht ausreichend schützende Umgang der empfindlichen personenbezogenen Daten innerhalb der Vereinigten Staaten. Ausgelöst wurde das Ganze damals durch die Enthüllungen von Edward Snowden, die die Massenüberwachungen durch die US-Behörden aufdeckten.

Infolgedessen wurde 2015 das Safe-Harbor-Abkommen für ungültig erklärt, da ein angemessenes Datenschutzniveau aufgrund der US-amerikanischen Rechtspraxis nicht gewährleistet war.

Das Privacy Shield war seit 2016 die Nachfolgeregelung zu Safe-Harbor, die das hohe Schutzniveau der DSGVO bei transatlantischem Datentransfer wahren sollte. Auch hier wurden Privacy Shield Principles festgelegt, denen US-amerikanische Firmen zustimmen mussten, um einen Datenaustausch im Rahmen einer Selbstzertifizierung zu ermöglichen. Im Vergleich zum Safe Harbor wurden viele der Anforderungen sowohl verschärft als auch erweitert. Unter anderem zählen dazu klarere gesetzliche Grundlagen für einen Datenzugriff durch US-Behörden und eine ausdrückliche Zweckbindung der Datenabfrage.

Am 16. Juli 2020 wurde auch dieser Beschluss vom EuGH als ungültig erklärt.

 

Welche Konsequenzen hat das EuGH Urteil zum Privacy Shield?

In unserem digitalen und globalisierten Alltag fließen immense Datenmengen ganz selbstverständlich über Landesgrenzen; die Übertragung dauert nur Sekundenbruchteile und ist Basis diverser Geschäftsbeziehungen. Sehr viele europäische Unternehmen arbeiten mit US-amerikanischen Dienstanbietern zusammen, so dass die rechtlichen Regelungen des Privacy Shields eine wichtige Grundlage für das alltägliche Geschäft waren. Die Tragweite auf den Datentransfer in die USA und andere Drittländer ist also enorm.

Nur Datentransfer, der ausschließlich auf das Privacy Shield gestützt wurde, ist unzulässig.

Die Folgen des Urteils führen dazu, dass der Datentransfer personenbezogener Daten in die Vereinigten Staaten nicht mehr rechtmäßig ist und einen Verstoß gegen die DSGVO darstellt. Eine Übergangsfrist gibt es nicht, diese wird weder vom Urteil noch von der DSGVO vorgesehen. Die Verstöße können nun also mit Sanktionen seitens der Aufsichtsbehörden (Art. 83 f. DSGVO) versehen werden.

Besondere Relevanz haben dabei diejenigen US-amerikanischen Unternehmen, die Cloudservices anbieten. Auch konzerninterner Datenverkehr ist relevant, denn auch US-Tochtergesellschaften, die ihren Sitz außerhalb der Vereinigten Staaten haben, sind betroffen.

Unmittelbar ist vom Aufheben des Privacy Shields nur derjenige Datentransfer betroffen, der in die USA fließt. Mittelbar hat der EuGH aber deutlich gemacht, dass auch andere Drittstaaten bei Datenübermittlung genau geprüft werden müssen. Dafür müssen vor allen Dingen die Standarddatenschutzklauseln überprüft werden und auch dahingehend hinterfragt werden, ob diese Vertragsklauseln im jeweiligen Drittland überhaupt adäquat umgesetzt und eingehalten werden können.

 

Worauf muss man als Unternehmen jetzt achten?

Im Sinne der hohen europäischen Datenintegrität sehen die Art. 44 ff. DSGVO verschiede Möglichkeiten vor, wie man als Unternehmen ein angemessenes Datenschutzniveau herstellen kann. Nach Wegfall der Rechtsgrundlage des Privacy Shields kann man einen Datentransfer auch dann rechtmäßig durchführen, wenn es einen Angemessenheitsbeschluss der europäischen Kommission gibt oder eine sonstige Garantie im Rahmen des Art. 46 DSGVO erfüllt wird.

Zu diesen Garantien gehören unter anderem folgende:

1. Binding Corporate Rules (BCR)

Darunter zu verstehen sind unternehmensinterne Regelungen, die den Umgang mit personenbezogenen Daten thematisieren und unter denen bestimmte Genehmigungsprozesse durchlaufen werden. Diese sind verbindlich und bilden interne Datenschutzbestimmungen aus, die garantieren, dass bei unternehmensinternem Datentransfer (z.B. an Tochtergesellschaften in EU-Drittländern) das Schutzniveau der DSGVO erhalten bleibt.

2. Standarddatenschutzklauseln (SCC – Standard Contractual Clauses)

Hierbei handelt es sich um Vertragsklauseln, die zwischen datenexportierenden und datenimportierenden Unternehmen in die Verträge übernommen werden können. Diese Klauseln sind aufgrund eines Beschlusses der EU-Kommission zur Verfügung gestellt worden und stellen ein entsprechendes EU-Datenschutzniveau sicher, sofern sie im Wesentlichen unverändert übernommen werden. Im aktuellen Urteil des EuGHs wurde festgestellt, dass die Klauseln weiterhin wirksam sein können. Allerdings unterliegen auch diese nun einer erneuten und sorgfältigen Prüfpflicht durch das Unternehmen.

3. Ausnahmen für bestimmte Fälle

Im Rahmen des Art. 49 DSGVO gibt es auch die Möglichkeit des Datentransfers in ein Drittland ohne gleichwertiges datenrechtliches Schutzniveau außerhalb der oben genannten Garantien. Dafür müssen bestimmte Bedingungen erfüllt werden: Beispielsweise muss die betroffene Person ausdrücklich und freiwillig in die Datenübermittlung zugestimmt haben, hierbei muss auch ein gewisser Grad an Informiertheit bezüglich der Risiken vorausgesetzt werden (Art. 49 Abs. 1 lit. a DSGVO). Eine weitere Begründung könnte ein besonderes öffentliches Interesse an dem Transfer sein  (Art. 49 Abs. 1 lit. d DSGVO) oder ein Datentransfer aufgrund einer Vertragserfüllung, die von der betroffenen Person beantragt wurde (Art. 49 Abs. 1 lit b DSGVO).

So könnte eure Checkliste aussehen:

  • Überprüft eure Datenschutzerklärung: Sind die dort genannten Datenübermittlungen auf das Privacy Shield gestützt? Ist es bei allen Unternehmen der Fall oder nur bei bestimmten?
  • Passt gegebenenfalls die Formulierungen der Datenschutzerklärung an.
  • Fertigt eine Liste an, auf der alle Diensleistungsunternehmen und Softwareorganisationen verzeichnet sind, mit denen ihr arbeitet bzw. die ihr nutzt.
  • Schaut euch an, ob bei der Nutzung personenbezogene Daten an diese Unternehmen transferiert werden.
  • Überprüft, ob die Organisationen künftig eine Regelung für EU-Kunden treffen werden oder geht direkt in die Offensive und fragt nach Lösungsmöglichkeiten (BCR, SCC, Datenspeicherung auf EU-Servern, …).

Ausblick & empfohlene Schritte

Es gibt also auch außerhalb des Privacy Shields Möglichkeiten, rechtmäßige Datenübermittlungen unter Aufrechterhaltung des europäischen Datenschutzrechts in EU-Drittländer durchzuführen. Wichtig ist nun, die bestehenden Verträge auf ihre Sicherheit zu prüfen. Sofern eine Sicherheitslücke entdeckt wird, muss sofort die Aufsichtsbehörde informiert werden. Gibt es keine Grundlage für einen legitimierten Datentransfer, muss dieser ausgesetzt werden oder ein Anbieter der gleichen Dienstleistung in der EU gefunden werden.

Bisher wurden unterschiedliche Statements sowohl von nationalen Datenschutzbeauftragten als auch von europäischen Aufsichtsbehörden veröffentlicht, ein gemeinsamer Tenor ist noch nicht wirklich ersichtlich.

Fraglich ist allerdings, ob es in naher Zukunft ein ähnliches Abkommen wie die bereits gekippten Safe Harbor und Privacy Shield Beschlüsse geben wird. Aktuell scheint der Datenschutz in den Vereinigten Staaten nicht auf EU-Ebene mithalten zu können, sodass die Wahrscheinlichkeit groß ist, dass auch ein weiteres Abkommen aufgrund von unzulänglicher Sicherheit früher oder später kippt.

 

1 Star2 Stars3 Stars4 Stars5 Stars (2 votes, average: 5.00 out of 5)
Loading...

Veronika Berk

Veronikas Leidenschaft war schon immer die Linguistik, häufig wird sie auch als wandelndes Lexikon bezeichnet. Nach ihrem Studium der Europäischen Rechtslinguistik und einem längeren Aufenthalt in Spanien hat sie sich den Rechtswissenschaften verschrieben. Seit 2019 verfasst Veronika für gastromatic Blogbeiträge zu arbeitsrechtlichen Fragen und wandelt die oftmals schwerverdauliche Juristensprache in leichte Kost um.

Du magst uns etwas sagen?

Hinterlass uns doch eine Nachricht. Deine E-Mail-Adresse wird nicht öffentlich gezeigt.

Ähnliche Beiträge

Zum Newsletter anmelden

  • Alle 14 Tage
  • Insights und Erfolgstories
  • Das Gastro-Magazin