EuGH kippt Privacy-Shield-Abkommen

Werden personenbezogene Daten außerhalb der Europäischen Union in einen Drittstaat übersendet, muss dafür eine Rechtsgrundlage gem. Artt. 44 ff. DS-GVO vorliegen. Für Datenübertragungen zwischen der EU und der USA bestand bisher die wichtigste Rechtsgrundlage im Privacy-Shield-Abkommen. Amerikanische Unternehmen konnten sich in die Privacy-Shield-Liste eintragen und sich damit selbst dazu verpflichten, ein angemessenes Datenschutzniveau einzuhalten. Damit galt eine Datenübertragung bisher als datenschutzrechtlich legitim.

Der EuGH hat den Privacy-Shield nun für unwirksam erklärt und damit eine der wichtigsten Grundlagen für Datenübertragungen in die USA quasi abgeschafft. Wir erklären, was es damit auf sich hat, welche Folgen die Entscheidung hat und was nun zu tun ist.

Warum ist die Entscheidung so relevant?

Wichtige Dienste und Software stammen meist von Marktführern aus den USA wie z. Bsp. Google, Microsoft, Amazon und Facebook. Oft werden Daten bei der Nutzung dieser Dienste in die USA übertragen und dort auf den Servern gespeichert. Die meisten Unternehmen waren bisher im Privacy-Shield gelistet, wodurch diese Datenübertragungen legitimiert wurden.

Der österreichische Datenschutzaktivist Max Schrems berief sich jedoch darauf, dass in den USA auch durch den Privacy-Shield kein angemessenes Datenschutzniveau herrscht. Dies begründete er vor allem mit dem Verweis auf Section 702 des Foreign Intelligence Surveillance Acts (FISA 702), welcher amerikanischen Behörden ermöglicht auf Daten von Nicht-US-Bürgern ohne Rechtsschutz oder gerichtlichen Beschluss zuzugreifen. Faktisch besteht damit in den USA kein Datenschutz für EU-Bürger. Der EuGH folgte dieser Ansicht und erklärte den Privacy-Shield zu einem Grundrechtsverstoß der EU-Kommission, da diese die Datenübermittlung in die USA zulässt.

Im Ergebnis führt diese Entscheidung dazu, dass sämtliche Datenübertragungen die auf Grundlage des Privacy Shields stattfanden nun nicht mehr legitim sind. Da fast jedes Unternehmen oder öffentliche Einrichtung Dienste eines amerikanischen Herstellers nutzt, ist die Relevanz besonders hoch.

Welche Maßnahmen sollten nun getroffen werden?

Das Urteil sorgt für enorme Rechtsunsicherheit, da für die tägliche Arbeit die Nutzung gewisser Dienste und Software absolut notwendig ist. Die wirtschaftlichen Schäden, wenn dieser Zustand dauerhaft so bleibt, wären enorm. Daher ist nun die Politik gefragt, hier ein wasserdichtes Abkommen zwischen den USA und der EU schnellstmöglich zu beschließen, damit eine Datenübertragung wieder möglich wird. Ob dies aufgrund der aktuellen politischen Situation allerdings so schnell passieren wird, bleibt fraglich.

Folgende Maßnahmen können aber dennoch schon jetzt getroffen werden, um die Risiken von Rechtsverstößen möglichst gering zu halten:

  • Wechsel von US-Dienstleistern zu europäischen Dienstleistern: dies wird logistisch jedoch nicht immer möglich sein
  • Nutzung europäischer Server: Bereits im Zuge der Einführung der DS-GVO sind viele Unternehmen dazu übergegangen, die Kundendaten auf europäischen Servern zu speichern (z. Bsp. Amazon und Microsoft). Auf Anfrage sollte diese Möglichkeit bei den entsprechenden Dienstleistern erfragt werden.
  • Anpassung von Datenschutzerklärungen: Wenn sich Datenschutzerklärungen auf das Privacy-Shield berufen, sollten die entsprechenden Passagen nun gelöscht werden
  • Auftragsverarbeiter mit Subauftragnehmer, die Daten in den USA verarbeiten sollten nicht mehr ausgewählt werden

Standardvertragsklauseln

Eine weitere Möglichkeit Daten in die USA zu übertragen, scheinen die Standardvertragsklauseln zu sein. Der EuGH hat diese zwar nicht explizit als ungültig bezeichnet, mit dem Hinweis darauf, dass in den USA grundsätzlich kein angemessenes Datenschutzniveau herrscht, ist aber auch klar, dass Standardvertragsklauseln diesen Zustand auch nicht heilen können.

Falls ein Wechsel von Anbietern oder auf europäische Server nicht so ohne weiteres möglich ist, können Standardvertragsklausel zunächst ein Schlupfloch bilden, um das Risiko eines Datenschutzverstoßes etwas zu minimieren. Dies ist zumindest so lange der Fall, bis ein Gericht auch diese explizit als unwirksam erklärt. Einer Überprüfung durch eine Datenschutzbehörde muss der Abschluss von Standardvertragsklauseln aber nicht zwangsläufig standhalten.

Es bleibt zu vermuten, dass die Behörden hier nicht sofort mit aller Härte mit Bußgeldern vorgehen werden. In jedem Fall sollte aber eine Bemühung nachweisbar sein, aktiv Maßnahmen zur Verbesserung der Situation getan zu haben.

Fazit

Aus rein datenschutzrechtlicher Sicht eines Bürgers, der seine Rechte gesichert sehen möchte, ist die Entscheidung des EuGH positiv einzuordnen. Für Verantwortliche ist die Entscheidung jedoch ein Mehraufwand und sorgt für Unsicherheit und Risiko.

Es sollte nun bei den genutzten Diensten abgefragt werden, ob die Daten auch auf Servern in der EU gespeichert werden können. Falls nicht sollten die Dienste langfristig gewechselt werden oder zunächst der Abschluss von Standardvertragsklauseln angestrebt werden. Es bleibt noch abzuwarten mit welchen Lösungen die großen Unternehmen wie Microsoft, Google und Amazon reagieren werden. Letztendlich ist nun aber die Politik gefragt, damit die Datenübermittlung durch ein neues Abkommen mit den USA wieder möglich wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Kontaktieren Sie uns

Office Radebeul
+ 49 (0)351 27220880

E-Mail:
info@datarea.de

Log in