Datenschutz Verstehen – Werden wir bald ein neues Privacy Shield Abkommen verwenden können?
Kurze Einleitung:
Werden Daten übermittelt, so trifft den Verantwortlichen stets die Pflicht, sich zu vergewissern, dass die Übermittlung auf einer angemessenen Grundlage stattfindet und ob diese überhaupt zulässig ist. Sobald Daten in Länder außerhalb des Europäischen Wirtschaftsraumes übermittelt werden, muss durch den Verantwortlichen zusätzlich sichergestellt werden, dass die Übertragung auf der Grundlage einer der in Kapitel V der DSGVO genannten Instrumentarien beruht. Diese Sicherheiten, wozu unter anderem ein Angemessenheitsbeschluss gem. Art. 45 DSGVO sowie geeignete Garantien wie beispielsweise die sogenannten Standarddatenschutzklauseln nach Art. 46 DSGVO oder verbindliche Unternehmensrichtlinien zählen, sind von essenzieller Wichtig- und Notwendigkeit, da gerade in den USA ein anderes Datenschutzniveau als in Europa zu verzeichnen ist. Bis Sommer 2020 fand die Datenübermittlung in die USA auf der Basis des transatlantischen Privacy Shield Abkommens statt, welches jedoch im Zuge des Schrems II-Urteils des Europäischen Gerichtshofs für ungültig erklärt wurde. Wie sieht nun, zwei Jahre nach Abschaffung des Privacy Shields, die Gesetzeslage aus? Wie erfolgt die Datenübermittlung? Gibt es ein Nachfolge-Abkommen?
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Was ist das Privacy Shield?
Was genau war das Privacy Shield Abkommen, welche Funktionsweise steckte dahinter und welche Gründe führten letzten Endes zur Ungültigkeitserklärung? Bereits vor dem Privacy Shield Abkommen existierte eine Absprache in Hinblick auf die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU, welche den Titel “Safe Harbour” trug. Diese wurde jedoch durch den EuGH im Oktober 2015 für ungültig erklärt und durch das Privacy Shield Abkommen ersetzt. Grundsätzlich ist es bei der Drittlandsübermittlung essentiell wichtig, dass in dem jeweiligen Drittstaat ein vergleichbares Datenschutzniveau gewährleistet wird. Dies kann, unter anderem, durch das Bestehen eines Angemessenheitsbeschlusses der EU-Kommission sichergestellt werden. Das Privacy Shield Abkommen galt in diesem Zusammenhang als eine sektorspezifische Angemessenheitsentscheidung der Kommission.
Im Zuge dessen trugen sich amerikanische Unternehmen in die Privacy Shield Liste ein, welche vom US-Handelsministerium geführt wurde, und verpflichteten sich damit, die Prinzipien des Privacy Shields zu beachten und zu wahren. Durch diese Selbstzertifizierung der Unternehmen wurde die Sicherheit bei der Übertragung von personenbezogenen Daten zwischen Europa und den USA gewährleistet. Allerdings unterlag auch dieses Datentransferabkommen, wie schon sein Vorgänger, der Ungültigkeitserklärung durch den Europäischen Gerichtshof, da auch hier festgestellt wurde, dass es kein DSGVO-konformes Datenschutzniveau garantieren werden konnte. Aufgrund dieser Erklärung mangelt es seither an einer der wichtigsten Grundlagen für den Transfer von Kundendaten in Länder außerhalb der EU. Damit einhergehend herrschten große Unsicherheiten für Unternehmen, vor allem in Hinblick auf den CLOUD-Act. Dieses US-amerikanische Gesetz erlaubt den US-Behörden den Zugriff auf sämtliche gespeicherte Daten im Internet, folglich auch die übertragenden europäischen Daten durch US-Tools.
Privacy Shield EuGH-Urteil
Das Schrems II-Urteil vom 16. Juli 2020, durch welches das Privacy Shield Abkommen für ungültig erklärt wurde, geht als das Ergebnis aus einem Rechtsstreit zwischen dem österreichischen Juristen und Datenschutzaktivisten Max Schrems und der irischen Aufsichtsbehörde hervor. Max Schrems, welcher Vorstandsvorsitzender der Initiative NOYB, welche sich der Durchsetzung von Datenschutzrechten verschrieben hat, hatte gegen das ehemalige Facebook Irland (heute Meta Platforms Ireland Ltd.) geklagt, da eine Übermittlung seiner personenbezogenen Daten an den Facebook-Mutterkonzern in die USA stattfand. Die Konsequenz dieses Rechtsstreits sind weitreichende und immense Folgen für all jene Unternehmen, welche bis dato das Abkommen als Rechtsgrundlage zur Übermittlung nutzten. Kommt es nun zu Übermittlungen in Drittländer, so müssen diese auf anderen Rechtsgrundlagen beruhen oder im schlimmsten Falle unverzüglich eingestellt werden.
Alternative zum Privacy Shield
Welche Alternativen bestehen derzeit als Rechtsgrundlagen der Übermittlungen? Grundsätzlich gilt es festzustellen, dass kein richtiger Ersatz für das Privacy Shield Abkommen vorhanden ist. Allerdings existiert eine Reihe von Alternativen, welche in den Art. 45 ff. der Datenschutz-Grundverordnung dargestellt werden.
So veröffentlichte die EU-Kommission im Sommer 2021 Standarddatenschutzklauseln (SCC) als neues Instrument. Diese können als sog. Garantien für Übermittlungen von personenbezogenen Daten dienen, vgl. Art. 46 Abs. 2 lit. c) DSGVO. Sofern Daten in Drittländer auf der Grundlage von Standardvertragsklauseln übermittelt werden sollen, gilt für den Verantwortlichen zu bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der EU genießen. Ist dies nicht der Fall ist, ist weiterhin zu prüfen, ob zusätzliche Maßnahmen zur Sicherstellung eines im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden können. Denkbar sind technische und organisatorische Maßnahmen, aber auch rechtliche Schritte. Die tatsächliche Wirksamkeit solcher Mittel darf jedoch nicht durch die Rechtsordnung des Drittlandes beeinträchtigt werden. Es bleibt jedoch zu verzeichnen, dass auch hierbei keine endgültige Rechtssicherheit besteht, da sich inzwischen bereits die Aufsichtsbehörden äußern, Standarddatenschutzklauseln alleine würden nicht mehr reichen. Deutlich wird dies an der aktuellen Problematik in Hinblick auf Google Analytics, welches bereits von den Datenschutzsaufsichtsbehörden mehrerer Länder für ungültig erklärt wurde.
Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!
Über 450 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.
Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.
Aktuelle Situation zum transatlantischen Datentransfer
Wie lässt sich die aktuelle Situation beurteilen? Gibt es möglicherweise einen Nachfolger des Privacy Shield Abkommens? Tatsächlich befinden sich die Europäische Kommission und die US-Regierung momentan in den Verhandlungen und Abstimmungen zur Durchführung einer Reform zum Schutz der Privatsphäre sowie der Bürgerrechte. Geeinigt wurde sich hierbei auf den vorläufigen Namen “Transatlantischer Datenschutzrahmen”. US-Sicherheitsbehörden sollen dieser Absprache zufolge Verfahren einführen, die eine wirksame Kontrolle der neuen Datenschutz- und Bürgerrechtsstandards gewährleisten. Darüber hinaus wird, wie auch beim Privacy Shield Abkommen, an der Selbstzertifizierung von Unternehmen festgehalten. Allerdings handelt es sich hierbei zum jetzigen Zeitpunkt lediglich um eine politische Ankündigung und nicht um eine rechtsverbindliche Vorgabe.
Fazit zu einem neuen Privacy Shield Abkommen
Es bleibt abzuwarten, ob sich der transatlantische Datenschutzrahmen zu einem praktikablen Instrument zur sicheren Drittlandsübermittlung zwischen dem EU-Raum und der USA entwickeln wird. Grundsätzlich kann der gesamte Prozess erst nach Vorliegen eines offiziellen Rechtstextes gestartet werden. Somit würde das Vorliegen eines tatsächlichen Angemessenheitsbeschlusses noch Monate dauern. Bis zu einem rechtlich verbindlichen Beschluss können sich Unternehmen daher nicht auf diese reine Ankündigung berufen. Darüber hinaus ist davon auszugehen, dass die Angelegenheit innerhalb kürzester Zeit nach einer endgültigen Entscheidung wieder vor dem Gerichtshof landen wird, wie auch die Vorgänger-Abkommen.
Herr Sebastian Feldmann ist als Datenschutzbeauftragter und Datenschutzauditor (zert. DSB & Auditor beim TÜV®), sowie als Consultant für Datenschutz bei der Keyed GmbH tätig. Als externer DSB, Auditor und Consultant für Datenschutz unterstützt er europaweit Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. In seiner ständigen Betreuung stehen Konzerne, kleine und mittelgroße Unternehmen, sowie Start-ups. Herr Feldmann zeichnet sich als Wirtschaftsjurist sowohl durch seine ökonomische als auch juristische Expertise im Datenschutzrecht aus.
„Um die Anforderungen von DSGVO, BDSG und weitere Rechtsvorschriften für unsere Kunden bestmöglich umzusetzen, ist eine stetige Fortbildung und ein ständiger Austausch mit den Landesdatenschutzbehörden – so wie wir es praktizieren – enorm wichtig.“
