23.07.2020 |

Der Europäische Gerichtshof (EuGH) hat am 16.7.2020 für einen Paukenschlag gesorgt: Es hat den sogenannten Angemessenheitsbeschluss für das EU-US Privacy Shield ab sofort für ungültig erklärt.

Eine Überangsfrist gibt es nicht. Damit können personenbezogene Daten in die USA ab sofort nicht mehr auf Grundlage des EU-US-Privacy Shield übermittelt werden. Das Gericht hat damit zum zweiten Mal nach dem Safe-Harbor-Urteil geurteilt, dass die Daten europäischer Bürger in den USA nicht ausreichend geschützt sind.

Gleichzeitig urteilte der EuGH aber auch, dass die EU-Standardvertragsklauseln (SVK) grundsätzlich weiterhin gültig bleiben. Dennoch, mit den SVK müssen die betroffenen Unternehmen ihre Partner in den USA prüfen, ob sie das erforderliche Schutzniveau einhalten. Dies ist für das einzelne europäische Unternehmen im Zweifel schwierig und sehr aufwändig.

Wird das erforderliche Schutzniveau nicht eingehalten oder wird die erforderliche Prüfung nicht durchgeführt, müsste das Unternehmen den Datentransfer aussetzen oder es besteht die Gefahr, dass die Datenschutzbehörden den Datentransfer verbieten.

Welche Unternehmen sind davon betroffen?

Am stärksten betroffen von der Entscheidung sind Unternehmen, die personenbezogene Daten an US-Cloud-Dienste übertragen sowie Social-Media-Plattformen (z.B. Facebook) nutzen und sich dabei auf das Privacy-Shield berufen. Ob Ihr Geschäftspartner davon betroffene ist, können Sie unter https://www.privacyshield.gov/list prüfen. Ihre Geschäftskorrespondenz mit US-Kunden oder US-Partnern ist übrigens nicht betroffen.

Worauf sollten Sie sich jetzt einstellen?

Mit der Entscheidung des EuGHs entfällt die Option, Datentransfers in die USA auf das EU-US-Privacy Shield zu stützen.

Aber die Verwendung der SVK erzeugt für den Datentransfer in die USA – aber auch in andere Drittländer mit ungenügendem Datenschutz – einige aufwändige Prüfpflichten und für Transfers nicht unerhebliche Risiken.

Mancher Transfer von personenbezogenen Daten lässt sich aber auch mit Artikel 49 DSGVO rechtfertigen (z.B. Einwilligung in die Übertragung, Abschluss eines Vertrages oder vorvertraglicher Maßnahmen, u.w. Erlaubnistatbestände). Hier ist die Weiterleitung also auch zukünftig noch möglich. Ebenfalls nicht betroffen sind freiwillige Datenübertragungen von personenbezogenen Daten, wenn z.B. eine Hotelübernachtung auf einer US-Website gebucht wird oder Sie E-Mails ins Ausland senden.

Im Großen und Ganzen ist die Datenübertragung in die USA damit jedoch fragil geworden. Wenn Sie im Zweifel sind, melden Sie sich einfach bei mir. Ich helfe Ihnen.

Was müssen Sie jetzt tun?

Unternehmen, die sich ausschließlich auf das EU-US-Privacy-Shield-Abkommen verlassen haben, haben nun ein Problem. Sie müssen mit ihrem Vertragspartner auf eine andere Rechtsgrundlage für den Drittlands-Transfer umstellen, zum Beispiel auf die EU-Standardvertragsklauseln oder die Datenverar-beitung anpassen. SVKs werden von den großen Anbietern (Microsoft, Google) bereits seit einiger Zeit parallel angeboten. Prüfen Sie, ob Ihr Anbieter SVKs ebenfalls anbietet. Ansonsten müssten Sie den Anbieter wechseln oder als andere Option, die Daten verschlüsseln oder anonymisieren. Was allerdings nicht immer möglich ist.

Die Kontrolle, ob Daten nach gültigen Regeln übermittelt werden dürfen, ist Sache der nationalen Aufsichtsbehörden. Sie werden nun das EuGH-Urteil auswerten und darauf basierend Empfehlungen veröffentlichen. Darüber werde ich Sie dann rechtzeitig informieren.

Es ist zu erwarten, dass den Unternehmen eine gewisse Übergangszeit einräumen wird, ihre Verarbeitungen anzupassen oder umzustellen. Nachdem das Vorläufermodell „Safe-Harbor“ im Oktober 2015 gekippt wurde, war die Übergangszeit z.B. in Hamburg zwei Monate. Im Januar 2016 hat Prof Dr. Caspar (Hamburger Datenschutzbeauftragter) die ersten Bußgelder verhängt und die Übertragung untersagt.

Bis dahin sollten Sie aber nicht untätig bleiben, sondern bereits jetzt prüfen:

  • Welche Daten übermitteln wir in die USA?
  • Sind diese Daten unternehmenskritisch?
  • Wie schnell können wir reagieren, wenn die Behörden doch kurzfristig den Datentransfer verbieten?
  • Gibt es Alternativen, bei denen die Verarbeitung in der EU verbleibt?

Weitreichende Konsequenzen der EuGH-Entscheidung und Handlungsempfehlungen:

Langfristig kann das Thema Datenaustausch mit US-Unternehmen nur politisch gelöst werden – die EU-Kommission und die US-Regierung müssen sich an einen Tisch setzen und Regelungen zur Wahrung der Grundrechte treffen,..“ sagt Nikolaus Bertermann (Fachanwalt für IT-Recht und Partner im Bereich Datenschutz bei SKW Schwarz Rechtsanwälte in Berlin).

Was m.E. nur schwer realisierbar ist, denn was dem einen der Datenschutz ist, ist dem anderen der „Datenschatz“ bzw. das Gold des 21. Jahrhunderts.

Auch im Hinblick auf andere Drittländer sollten die Datentransfers, die auf SVK gestützt werden, ebenfalls vor dem Hintergrund der EuGH-Entscheidung begutachtet werden. Denn der EuGH hat deutlich gemacht, dass vor einer Übermittlung personenbezogener Daten in Drittländer aber auch während kontinuierlicher Datentransfers die Einhaltung eines angemessenen Schutzniveaus geprüft und sichergestellt sein muss.

Da letzteres im Zweifel nur schwer durchführbar und meist auch teuer ist, sollten unter einem gesamtwirtschaftlichen Aspekt europäische Alternativen ernsthaft geprüft werden.

Weitere Möglichkeiten wären die Daten vor dem Transfer zu verschlüsseln, wenn die Daten z.B. nur in den USA gespeichert werden oder die Daten zu pseudonymisieren und erst in Europa wieder zu personifizieren.

Sollten Sie Fragen haben oder Unterstützung benötigen, stehe ich Ihnen gerne zur Verfügung

Roland von Gehlen

Bild von Gerd Altmann auf Pixabay