• Datenschutz

EuGH erklärt Privacy Shield für ungültig

Datenübermittlung in die USA nur noch eingeschränkt möglich

Nach jahrelangem Rechtsstreit hat der EuGH (Urteil in der Rechtssache C-311/18) den EU-US Privacy Shield für ungültig erklärt.

Innerhalb der EU werden personen­bezogene Daten durch die DSGVO geschützt. Hierdurch wird das Grundrecht der EU-Bürger auf Selbst­bestimmung über den Umgang mit Informationen über die eigene Person umfassend gewährleistet. Soweit die EU-Kommission nach umfassender Prüfung des Datenschutz-Niveaus eines anderen Landes außerhalb der EU-Grenzen ein mit der DSGVO vergleichbares staatliches Schutzkonzept festgestellt hat, erlässt sie einen sogenannten Angemessenheits-Beschluss. Besteht ein solcher bedarf es keiner weiteren Maßnahmen, um den Datenschutz zu verbessern.

Für Datenübermittlungen an die USA bestand ein solcher Angemessenheits-Beschluss, jedoch nur unter der Voraussetzung, dass sich das empfangende Unternehmen unter dem EU-US-Privacy Shield selbst zur Einhaltung der darin enthaltenen Vorgaben verpflichtete.

Besteht ein solcher Angemessenheits-Beschluss nicht, gibt es darüber hinaus noch die Möglichkeit, einzelvertraglich mit dem Empfänger im Drittland sogenannte Standard­vertrags­klauseln zu vereinbaren, die auf dieser Ebene zusätzlichen Schutz für die betroffenen Personen hinter den Daten bieten. Diese wurden von der EU-Kommission ebenfalls als eine adäquate Garantie gewertet, das Datenschutz-Niveau im Drittland sicherzustellen.

Der EuGH hatte nun darüber zu entscheiden, ob der EU-US Privacy Shield und die Standard­vertrags­klauseln eine rechtmäßige Grundlage für die Übermittlung von personen­bezogenen Daten in die USA darstellen. Das Verfahren ausgelöst hatte der Datenschutz­aktivist Max Schrems, der verhindern wollte, dass Facebook Irland seine Daten an den Mutterkonzern in die USA übermittelt.

Die Richter haben nun entschieden, dass der Privacy Shield kein angemessenes Datenschutz­niveau für europäische Bürger gewährleistet, da er nicht mit der Charta der Grundrechte der Europäischen Union vereinbar ist. Es fehle an einem ausreichenden Rechtsschutz der EU – Bürger, vor allem bestehe kein Schutz der Daten vor dem Zugriff der US-Regierung. Durch die Gesetzgebung in den USA (etwa den USA PATRIOT Act) haben dortige Behörden weitreichende Befugnisse, die auch Grundrechte der EU-Bürger verletzen können.

Die Standard­vertrags­klauseln halten die Richter jedoch für rechtmäßig. Das Gericht ist der Ansicht des Generalanwalts gefolgt, der in seinem Schlussantrag die Meinung vertreten hat, dass die Standard­vertrags­klauseln eine geeignete Rechtsgrundlage darstellen. Denn die Standard­vertrags­klauseln enthalten wirksame Mechanismen, um das geforderte Datenschutz­niveau der DSGVO einzuhalten. Die Übermittlung, die auf der Grundlage solcher Klauseln erfolgt, kann von der zuständigen Behörde jedoch verboten oder ausgesetzt werden, wenn die Vertragsklauseln nicht befolgt werden. Es muss daher im Einzelfall geprüft werden, ob der Empfänger der Daten das Datenschutz­niveau tatsächlich garantieren kann.

Handlungs­empfehlung

Folgende Punkte sollten daher von Unternehmen beachtet werden, um nach dem Urteil des EuGH, weiterhin rechtmäßig zu handeln.

  • Es sollte überprüft werden, ob mit Geschäftspartnern in den USA, die Standard­vertrags­klauseln abgeschlossen wurden. Viele amerikanische Unternehmen, die auch unter dem Privacy – Shield zertifiziert sind, bieten zusätzlich die Standard­vertrags­klauseln an (z.B. Microsoft, Zoom, Cisco, IBM)
  • Die Standard­vertrags­klauseln dürfen inhaltlich nicht geändert werden und nur eingeschränkt ergänzt werden.
  • Falls keine Standard­vertrags­klauseln abgeschlossen wurden, kann die Daten­übertragung, auf eine Einwilligung nach Art. 49 I lit. a) DSGVO gestützt werden.
  • Für Konzerne besteht die Möglichkeit interne verbindliche Datenschutz­vorschriften, gemäß den Voraussetzungen des Art. 46 II lit. b) DSGVO, zu erlassen.
  • Unter bestimmten Voraussetzungen ist eine Übermittlung in die USA zur Begründung oder Durchführung eines Vertrags möglich (Art. 49 I lit b) DSGVO).
  • Datenschutz­erklärungen/Datenschutz­informationen sowie die Verarbeitungs­verzeichnisse sind - an das Urteil des EuGH - anzupassen.

Ausblick

Obwohl der Privacy Shield für ungültig erklärt wurde, sind Datenübermittlungen – wenn auch nur eingeschränkt - in die USA möglich. Es sollte unbedingt darauf geachtet werden, die Standard­vertrags­klauseln abzuschließen. Möglich ist auch das Ausweichen auf andere Rechtsgrundlagen. Es bleibt abzuwarten, wie die deutschen Datenschutz­behörden auf das Urteil reagieren. Um Haftungsrisiken zu vermeiden, ist es möglich, die Meinung der zuständigen Datenschutz­behörde einzuholen.

Zudem ist bekannt, dass die EU – Kommission bereits mit dem Urteil gerechnet hat und daher bereits an alternativen Instrumenten zur Daten­übermittlung, arbeitet. Bis dahin sollten die o.g. Empfehlungen beachtet werden.

Die Standard­vertrags­klauseln mit einem Auftragsverarbeiter finden unsere Kunden online im myGINDAT-Portal im Gesamtpaket unter „09 Auftragsverarbeitung“.