top of page

NEWS 20.07.2020

EuGH kippt EU-US Privacy Shield. Was muss man aus Unternehmersicht beachtet, um Bußgelder zu vermeiden?

20.Juli 2020, secriso Consulting

Beim Privacy Shield handelte es sich um ein Abkommen zwischen der Europäischen Union und den Vereinigten Staaten. Es handelte es sich hierbei um eine Zertifizierung, welche darauf abzielte amerikanische Unternehmen zu zertifizieren, welche die Datenschutzstandards einhielten. Das EU-US Privacy Shield war die Nachfolgeregelung der Safe-Harbor-Entscheidung, die der Europäische Gerichtshof am 6. Oktober 2015 für ungültig erklärt hat (C-362/14). Wurde ein US-Unternehmen zertifiziert, ist der Datenfluss an dieses Unternehmen gemäß Art. 45 DSGVO ohne Genehmigung zulässig. Inhalt des Datenschutzschildes war, dass die Datenübermittlung an Unternehmen die sich danach zertifizieren ließen aus datenschutzrechtlicher Sicht zulässig war.

 

Die Betonung liegt auf der Vergangenheit, weil der EuGH in seiner aktuellen Entscheidung am 16. Juli 2020 entschieden hat, dass das Datenschutzschild nicht mehr als geeignete Garantie gem Art 44 ff DSGVO herangezogen werden kann. Die Zertifizierung legitimiert nun nicht mehr zu Datenübermittlungen ins Drittland (USA).

Das Datenübermittlungen aufgrund Grundlage einer Privacy Shield Zertifizierung an amerikanische Unternehmen sind rechtswidrig!

Die Privacy Shield Zertifizierung stand schon lange in der Kritik vieler Datenschützer. Der Grund  lag darin, dass die USA mit personenbezogenen Daten ausländischer Betroffener nicht gleichwertig Umgang wie mit personenbezogenen Daten von amerikanischen Staatsbürgern. Insbesondere weil die Datenschutzregelungen durch staatliche Maßnahmen ausgehebelt wurden. Demnach haben Unternehmen nach der amerikanischen Rechtslage die Verpflichtung im gegebenen Anlassfall der NSA und FBI Zugriff auf personenbezogenen Daten zu gestatten. Von diesen Regelungen sind aber ausschließlich ausländische personenbezogenen Daten umfasst. Somit handelte es sich hierbei um eine Gleichheitswidrigkeit und um eine Grundrechtsbeeinträchtigung.

EuGH-Urteil vom 16. Juli 2020 C-311/18 ("Schrems II")

Hintergrund der Entscheidung war, dass der österreichische Datenschützer Max Schrems hatte sich 2013 bei der irischen Datenschutzbehörde darüber beschwert, dass Facebook Nutzerdaten in den USA verarbeitet werden. Er begründet seine Beschwerde insbesondere auf die nicht datenschutzkonformen Überwachungsgesetze der USA (obig ausgeführt). Daraufhin wurde das Safe-Harbor-Abkommen vom EuGH aufgehoben und das EU-US Privacy Shield zwischen der EU und USA 2015 gefasst. Nun wurde auch dieses Abkommen mit der aktuellen Entscheidung des EuGHs für unzulässig erklärt.

Was bedeutet dies nun für Datenübermittlungen an amerikanische Unternehmen?

Jeder Verantwortliche der personenbezogenen Daten an amerikanische Unternehmen übermittelt und sich auf das Privacy Shield beruft, muss eine andere geeignete Garantie sicherstellen, um den Datentransfer weiterhin durchführen zu können.

 

Darüber hinaus stellt das Urteil klar, dass wenn ein Verantwortlicher bei der Datenübermittlung auf die Standardvertragsklauseln (SCC) beruft, dies auch weiterhin tun kann. Der Grund liegt darin, dass die SCC eine Bestimmung enthalten, dass der Verantwortliche den Vertrag aussetzen und/oder vom Vertrag zurücktreten kann, wenn der in Anspruch genommene Auftragsverarbeiter aufgrund von dessen nationalen Bestimmungen die Einhaltung der Standardvertragsklauseln nicht sicherstellen kann. Somit kann sich ein europäisches Unternehmen darauf berufen, wenn ein amerikanisches Unternehmen personenbezogene Daten an das FBI oder die NSA weitergibt, weil dies nicht dem europäischen Datenschutzrecht entspricht. Conclusio für amerikanische Unternehmen ist, dass europäische Verantwortliche sehr wohl amerikanische Dienstleister heranziehen können, wenn die Standardvertragsklauseln enthaltenen Garantien eingehalten werden.

Was müssen Verantwortliche in Zukunft bei Datenübermittlungen ins Drittland beachten?

  • In erster Linie müssen alle Verantwortliche prüfen ob personenbezogenen Daten ins Drittland übermittelt werden.

  • Im nächsten Schritt ist zu prüfen ob es vertragliche Vereinbarungen getroffen wurden.(bspw Auftragsverarbeitervereinbarungen !?!)

  • Darüber hinaus ist zu eruieren ob man sich auf geeignete Garantien im Hinblick auf den Datentransfer in Drittland stützt. (bspw Standardvertragsklauseln etc.)

  • Wenn die Standardvertragsklauseln abgeschlossen wurden, ist zu prüfen welchen Rechtsnormen der Datenempfänger unterliegt und ob diese nicht die Garantien der Standardvertragsklauseln aushebeln.
    => Betrifft jede Datenübermittlung in das Drittland
    !

  • Des Weiteren ist zu prüfen ob man sich auf die Privacy Shield Zertifizierung eines amerikanischen Unternehmens als geeignete Garantie berief.

  • Wenn dies der Fall ist, muss man andere geeignete Garantien sicherstellen!

 

Wenn keine geeignete Garantie sichergestellt werden kann, muss der Verantwortliche die Datenübermittlung ins Drittland einstellen, weil ihm ansonsten ein Verstoß gegen Art 44 DSGVO droht. Darüber hinaus raten wir dazu, dass Unternehmen nicht darauf bauen, dass die Europäische Kommission ein neues Datenschutzschild mit den Vereinigten Staaten schließt. Es besteht somit Handlungsbedarf.

secriso Consulting unterstützt Sie gerne bei der Evaluierung von Datenübermittlungen ins Drittland bzw bei der Überprüfung der bereits abgeschlossenen Verträge. Darüber hinaus überarbeiten wir Ihre Verträge und überarbeiten alle notwendigen datenschutzrechtliche Dokumente (Informationspflicht, Verzeichnis von Verarbeitungstätigkeiten, Einwilligungen etc.) Treffen Sie mit uns geeignete Garantien und vertrauen Sie auf unsere jahrelange Kompetenz im Bereich Datenschutz.

 

Nutzen Sie unser "Privacy Shield Beratungspaket" zu einer Pauschale ab EUR 750 exkl. USt* an.

(*in der Pauschale enthalten: Überprüfung von drei Verträgen in Bezug auf die geeigneten Garantien, 1 Stunde Beratung, Anpassung von drei Verträgen und Informationspflicht)

 

 

Per E-Mail unter office@secriso.com (rund um die Uhr) oder

telefonisch unter 0463/276376.

bottom of page