Das Urteil vom 16. Juli 2020 ist ein Paukenschlag im Bereich Datenschutz: Im Verfahren zwischen der irischen Datenschutzbehörde, dem Juristen Max Schrems sowie Facebook kippt der Europäische Gerichtshof (EuGH) das umstrittene Privacy Shield. Dieses Abkommen regelt den Datentransfer von der Europäischen Union in die USA. Betroffen von dem Urteil ist also nicht nur Facebook, sondern aber auch andere Unternehmen, die Daten von der EU in Drittländer übertragen. Das trifft vor allem die ganz großen Anbieter wie Amazon, Microsoft und Google.
Hinweis: Wir aktualisieren diesen Beitrag stetig, sobald es neue Entwicklungen in diesem Fall gibt.
Update vom 27.07.2020
Empfehlungen des europäischen Datenschuss-Ausschusses
Der Europäische Datenschutzausschuss hat ein FAQ mit den dringendsten Fragen zum Privacy Shield Urteil herausgegeben. Dieses können Sie hier einsehen.
Die wichtigsten Feststellungen des Dokuments auf einen Blick:
- Es gibt keine Übergangsfrist für die Anwendung des Urteils. Wenn Sie also derzeit Daten in die USA nach den Privacy Shield Richtlinien übermitteln, müssen Sie den Transfer sofort einstellen oder auf andere Datenschutz-Standards (siehe unten) setzen.
- Das Urteil kann analog auch auf Datenübertragung in andere Drittländer angewendet werden. Hier muss sichergestellt werden, dass im Drittland den europäischen Bestimmungen entsprechende Datenschutzstandards eingehalten werden.
Ursprünglicher Beitrag vom 20.07.2020
Betrifft das Sie als deutsches Unternehmen auch und was müssen Sie jetzt anpassen?
Für Sie als deutschen Unternehmer ist angesichts dieses Urteils sicher vor allem interessant, was Sie nun im betrieblichen Datenschutz anders machen müssen. Das Urteil hat Folgen für Sie – jedoch besteht kein Anlass zur Panik. Wir klären auf, wie es überhaupt zu dem Urteil kam, weshalb das Privacy Shield so umstritten ist, und welche Maßnahmen Sie jetzt in die Wege leiten sollten.
Wie kam es zu dem Urteil?
Der österreichische Jurist und Datenschützer Max Schrems ist kein Unbekannter. Denn bereits 2015 sorgte seine Klage dafür, dass das Vorgänger-Abkommen des Privacy Shield für ungültig erklärt wurde. Das Privacy Shield wurde damals eigentlich ausgehandelt, um die Datenschutz-Mängel zu beheben. Heute findet es auch in der Praxis häufig Anwendung, wenn Daten in die USA übertragen werden.
Auch gegen dieses Abkommen hat Max Schrems Klage eingereicht und Recht bekommen: Nun ist auch das Privacy Shield ungültig. Dabei betrifft das EuGH-Urteil nicht nur das Abkommen mit den USA, sondern prinzipiell auch ähnliche Abkommen mit Drittländern außerhalb der EU (z.B. Kanada, China).
Wieso ist das Privacy Shield datenschutzrechlich ein Problem?
Die USA haben ein grundsätzlich anderes Verständnis für Datenschutz. Besonders der Fakt, dass Geheimdienste dort viel leichter auf Daten zugreifen und diese für ihre Ermittlungen benutzen können, bietet immer wieder Anlass zur Kritik.
Laut europäischem Datenschutzgesetz müssen Anbieter vor dem Datentransfer aus der EU sicherstellen, dass die Gegebenheiten im Zielland mit den EU-Datenschutzvorgaben übereinstimmen. Durch das Privacy Shield ist das aber nicht gewährleistet. Insofern steht das Abkommen im Konflikt zu den EU-Datenschutzgesetzen.
Bedeutet das Ende des Privacy Shields, dass jetzt Facebook und Co schließen müssen?
Nein, denn es gibt mehrere Möglichkeiten, ein europäisches Datenschutzniveau zu gewährleisten. Neben dem Privacy Shield Abkommen können sich amerikanische Unternehmen (oder Unternehmen aus anderen Drittländern) unter anderem zwei weiterer Möglichkeiten bedienen:
- Standardvertragsklauseln (SVK): Das sind spezielle Vertragsklauseln, die durch die EU-Kommision zur Verfügung gestellt werden. Diese können unverändert übernommen werden und garantieren ein entsprechendes Datenschutzniveau im Drittland. Achtung: Diese werden nach dem Privacy Shield als nächstes auf den Prüfstand kommen – insofern ist nicht klar, wie lange diese noch gelten werden.
- Binding Corporate Rules (BCR): Darunter versteht man unternehmensinterne Regelungen, die den Umgang mit personenbezogenen Daten definieren. Diese haben bestimmte Genehmigungsverfahren in der EU zu durchlaufen. Der Nachteil dabei ist, dass solche individuellen Regelungen erheblichen Aufwand und hohe Kosten mit sich bringen. Daher sind sie eher für große Unternehmen und Konzerne möglich.
Insofern bedeutet die Ungültigkeit des Privacy Shield nicht, dass nun gar kein Datentransfer mit Drittländern wie den USA mehr möglich ist. Es wird nur aufwändiger, das EU-Datenschutzniveau zu garantieren.
Was bedeutet das konkret für mich?
Neben klaren Einschränkungen des Datenverkehrs in die USA bestehen nun auch Unsicherheiten bezüglich des Datenverkehrs in andere Drittstaaten wie Russland oder China. Davon sind alle Unternehmen betroffen, die Daten in andere Drittländer auf Basis vom EU-US Privacy Shield und/oder Standardvertragsklauseln übermitteln.
Kurz gesagt: Im Ergebnis bedeutet das Urteil des EuGH, dass bei jedem Datentransfer eine Einzelfallprüfung gemacht werden muss. So muss sichergestellt werden, ob der Anbieter im Drittland überhaupt in der Lage ist, die Pflichten aus den Standard-Datenschutzklauseln einzuhalten.
Konsequenzen:
- Wenn die Datenübermittlung auf Grundlage des EU-US Privacy Shield passiert, kann davon ausgegangen werden, dass dies als unzulässig angesehen werden muss. Ausnahme: Falls eine andere Garantie z.B. in Form von BCRs vorliegt.
- Es drohen Sanktionen der Aufsichtsbehörden. Neben Beschränkungen der Übermittlung können auch komplette Verbote der Übermittlung oder Bußgelder verhängt werden.
Was soll ich jetzt konkret tun?
- Überprüfen Sie alle Ihre Datenflüsse in Drittländer (nicht nur in die USA)
- Bestimmen Sie, auf welcher Rechtsgrundlage der Datenfluss erfolgt: Sollte der Transfer auf Basis des Privacy Shields erfolgen, prüfen Sie, ob Sie auf Standarddatenschutzklauseln oder BCR umstellen können. Andernfalls ist der Datentransfer sofort einzustellen.
- Auch wenn Sie Standarddatenschutzklauseln oder BCR verwenden, sollten Sie prüfen, ob hierdurch ein Schutz personenbezogener Daten auf EU-Niveau gewährleistet ist. Sollte das nicht der Fall sein, treffen Sie zusätzliche Schutzmaßnahmen (z.B. in Form von Vertragsergänzungen oder einer zusätzlichen Verschlüsselung).
Bleiben Sie auf dem laufenden und melden sich in unseren Newsletter an.
Was muss ich als Unternehmer nun tun?
- Prüfen Sie zunächst Ihre internen und externen Datenflüsse: Werden Daten in Drittländer gesendet? Wenn ja, wohin und nach welchen Standards?
- Prüfen Sie die Beziehung zu allen Datenempfängern, die ihren Sitz in den USA haben: Wenn es noch keine passenden Standardvertragsklauseln gibt, sondern nur das Privacy Shield zitiert wird, sollten Sie unbedingt Standardvertragsklauseln nachrüsten.
- Achtung: Dennoch gilt es zu klären, ob die Datenempfänger überhaupt die Anforderungen an solche Vertragsklauseln einhalten können!!!
- Mittelfristig sollten Sie sich Gedanken darüber machen, ob es sinnvoll ist, sich auf andere Rechtsgrundlagen zu stützen z. B. Binding Corporate Rules (BCR).
Generell gilt: Viele große US-Anbieter haben bereits nachgerüstet und setzen nicht mehr nur auf das Privacy Shield. So haben Amazon und Microsoft bereits auf die Standardvertragsklauseln gesetzt und sind – zumindest bis diese auf den Prüfstand kommen – datenschutzrechtlich unbedenklich.
Fakt ist, dass der Datenverkehr in ein Drittland durch das Privacy Shield Urteil nicht einfacher, sondern um einiges komplizierter geworden ist. Wir halten Sie auf dem Laufenden, wenn es Neues zu dem Thema gibt!
Beitragsbild: NASA via unsplash.com
