EUGH Urteil: EU Privacy Shield

Datenschutz VerstehenEuGH Urteil: EU Privacy Shield

Kurze Einleitung

Der Datenschutzaktivist und Jurist Max Schrems aus Österreich hatte ein weiteres Mal Erfolg bei der Aufhebung eines Abkommens zwischen der Europäischen Union und der USA. Der Vorstandsvorsitzende der Initiative NOYB hat am 16.06.2020 dafür gesorgt, dass das Privacy-Shield-Abkommen vom EuGH aufgehoben worden ist. Viele europäische Unternehmen beziehen Leistungen, wie SaaS-Lösungen, aus der USA. Was müssen Unternehmen jetzt beachten, um weiterhin datenschutzkonform zu agieren?

 

Definition Privacy Shield

Durch die neue Datenschutz-Grundverordnung sollen allen europäischen Bürgern die Sicherheit ihrer personenbezogenen Daten gewährleistet werden. Fraglich bleibt allerdings, welche Sicherheitsgarantien beim Datentransfer außerhalb der EU zutreffen. Denn grundsätzlich sollten europäischen Bürgern dieselben Grundrechte auch im Ausland zustehen. Nach Art. 44 DSGVO dürfen Daten nur dann in ein Drittland übermittelt werden, wenn die Drittländer die Kompatibilität zwischen dem Schutzniveau der personenbezogenen Daten im jeweiligen Land mit dem Schutzniveau der europäischen Datenschutz-Grundverordnung gewährleisten. Die USA, woher viele digitale Lösungen stammen, wird auch als Drittland zur Europäischen Union angesehen. Allerdings ist der Datentransfer in die USA ohne geeignete Garantien unzulässig, da die Sicherheitsstandards der personenbezogenen Daten in den USA nicht gewährleistet werden können.

Allerdings sieht der Art. 45 DSGVO vor, dass Daten auch dann in die USA übermittelt werden dürfen, wenn ein Angemessenheitsbeschluss der europäischen Kommission oder eine sonstige Garantie nach Art. 46 DSGVO vorliegt. Dieser gewährleistet ein Schutzniveau der personenbezogenen Daten im jeweiligen Drittland. Eines dieser Garantien war bis zum 16.07.2020 das EU-US Privacy Shield Abkommen. Das Privacy Shield Abkommen ist eine informelle Abmachung zwischen der EU und der der USA. Es regelt eine rechtmäßige Übermittlung von personenbezogenen Daten von Europa in die USA. Die europäische Union war mit dem Privacy Shield Abkommen grundsätzlich einverstanden, weil sie der Ansicht waren, dass somit ein Sicherheitsniveau gewährleistet sei. Das Privacy Shield sei eine angemessene und selbstverpflichtende Einverständniserklärung der Unternehmen, sich an die europäischen Vorgaben hinsichtlich des Datenschutzes zu halten. Der EuGH ist hinsichtlich dieser Angelegenheit allerdings anderer Meinung. Das Gericht erachtete das Privacy Shield Abkommen als unzulässig, da man festgestellt hat, dass das Abkommen den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang einräume, weil die auf die amerikanischen Rechtsvorschriften geschützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt seien, so der EuGH.

 

Was müssen Unternehmen jetzt für den Datentransfer in die USA beachten?

Wie bereits beschrieben ist der Datentransfer mittels des Privacy Shield nach neuester europäischer Rechtsprechung unzulässig. Allerdings gibt es Alternativen zum Privacy Shield Abkommen. Dies sind die sogenannten Standarddatenschutzklauseln (SCC). Dies ist eine Art rechtliche Vorlage, welche von der EU erstellt worden ist. In der Rechtsprechung zum Privacy Shield erklärte der EuGH, dass die SSC noch weiterhin datenschutzrechtlich zulässig seien, weil sie wirksame Mechanismen enthalten, die dem Datenschutzniveau der europäischen Union gleichkommen.

Eine Alternative ergibt sich aus dem Art. 46 Abs. 1 DSGVO. Diese werden auch als sogenannte “Binding Rules” verstanden. Bei den Binding Rules verpflichtet sich das Unternehmen die datenschutzrechtlichen Vorschriften nach der Datenschutz-Grundverordnung einzuhalten. Dazu werden interne Unternehmensregelungen aufgestellt. Allerdings ist dieser Lösungsansatz mit einem langen Genehmigungsverfahren verbunden. Deswegen sind die Binding Rules auch nicht besonders attraktiv für die jeweiligen Unternehmen. Eine weitere Möglichkeit zu den Binding Rules liefert Art. 49 Abs. 1 lit. a) DSGVO. Demnach ist ein Datentransfer in die USA auch dann möglich, wenn der betroffene seine eindeutige Einwilligung erteilt hat und dieser gleichzeitig über die Risiken der Datenübermittlung unterrichtet worden ist. Diese Ausnahme ist auch dann zulässig, wenn weder ein Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO noch geeignete Garantien im Sinne des Art. 46 DSGVO, für die Übermittlung vorliegen. Unter der gleichen Voraussetzung sieht der Art. 49 Abs. 1 lit. b), c) ebenfalls eine Ausnahmeregel immer dann vor, wenn der Datentransfer zur Erfüllung vertraglicher oder vorvertraglicher Maßnahmen notwendig ist. In der Praxis ist diese Fallkonstellation nur dann möglich, wenn eine Missachtung der Pflichtleistungen aus einem Vertrag vor Gerichten in den USA vereinbart worden sind. Allerdings liegen hinsichtlich dieser Regelung weder gerichtliche Urteile noch einheitliche Meinungen vor.

 

Was müssen Unternehmensgruppen nun beachten?

Durch dieses Urteil ergeben sich für die Praxis eine Reihe von neuen Fragen. Gerade Unternehmen bzw. Unternehmensgruppen, die auf den Datentransfer in die USA angewiesen sind, stehen nun vor der Herausforderung den, Vorgaben des EuGHs gerecht zu werden. Wie bereits erwähnt, fällt das Vorgehen nach der Privacy Shield Vereinbarung weg. Somit müssen alle Unternehmen, die einen Datentransfer in Drittländer durchführen, überlegen, ob sie nun ihr Vorgehen nach den Binding Rules oder den Standarddatenschutzklauseln strukturieren möchten. Beide Vorgehen sind zwar mit viel Aufwand und Kosten für die jeweiligen Betriebe und Unternehmensgruppen verbunden. Eine andere Lösung steht allerdings noch aus. Im Gegenteil, Experten vermuten, dass die Regelungen noch schärfer werden. Insbesondere für die USA gilt: Es sind erhebliche Reformen zu den bestehenden Überwachungsgesetzen erforderlich, damit sie den datenschutzrechtlichen Prinzipien der DSGVO gerecht werden. Verstoßen Unternehmen gegen diese Regelungen, drohen ihnen neben Bußgeldern erhebliche Strafen. Experten erwarten zudem eine intensive politische Auseinandersetzung zwischen den USA und den europäischen Staaten.

Privacy-Shield-EuGH
Menü