Nachdem der Europäische Gerichtshof (EuGH) Safe Habour für ungültig erklärt hat, erklärt er den Privacy Shield nun auch für unzulässig (EuGH, 16.7.2020 C-311/18 „Schrems II“). 

Wir erklären Ihnen was das für Sie bedeutet!

Zum Hintergrund

Dem Urteil vorhergegangen war ein Streit des Datenschutzaktivisten Max Schrems mit Facebook über datenschutzkonforme Datentransfers in Drittstaaten. Schrems hat nun einen „fulminanten“ Sieg errungen. Die Luxemburger Richter erklärten den zwischen der EU-Kommission und den USA vereinbarten Datenschutzschild (Privacy Shield) am Donnerstag für unzulässig.

Wichtig: Firmen dürfen weiterhin auf Basis sogenannter Standardvertragsklauseln personenbezogene Nutzerdaten in die USA oder andere Drittstaaten übertragen. 

Kein Urteil fällte der EuGH hinsichtlich der Frage, ob die von Facebook genutzten Klauseln beim Datentransfer in die USA das erforderliche Schutzniveau garantieren.

Auszug aus der Pressemitteilung:

„Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet . Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u.a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen. Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen.“

Rechtliche Bedeutung für die Praxis

Das Urteil erzeugte eine große Rechtsunsicherheit für Firmen mit einer Datenverarbeitung in den USA. Zunächst bedeutet das Urteil, dass ein Großteil des Datenverkehrs zwischen den USA und der EU unzulässig ist! Die meisten US-Dienstleister dürften demnach also nicht eingesetzt werden. Das Urteil betrifft auch die großen Anbieter wie Facebook oder Google, die auf große Probleme treffen, wenn sie Daten von EU-Bürgern in den USA verarbeiteten wollen.

Die DSGVO untersagt die Verarbeitung personenbezogener Daten (i.S.v. Art. 4 Nr.1 DSGVO) außerhalb der EU, wenn in den „Drittländern“ (wie in den USA) kein nach EU-Recht angemessener Datenschutz gewährleistet wird. 

Wenn Sie bislang allein auf Basis des Privacy Shield Daten verarbeitet haben, müssen Sie nun zumindest auf die Standardvertragsklauseln umstellen – andernfalls droht ein Daten-Chaos. 

Das sollten Sie tun:

  1. Bei US-Anbietern nach EU-Servern fragen,
  2. Oder: keine US-Dienstleister einsetzen,
  3. Oder: keine Dienstleister mit US-Subunternehmen einsetzen,
  4. Und Verträge und Datenschutzhinweise anpassen UND den Hinweis auf das Privacy Shield entfernen

Gibt es eine Alternative? 

Sie können natürlich auch momentan nichts tun und abwarten, wie die EU-Kommission und Datenschutzbehörde reagieren wird – Achtung: natürlich ist das risikobehaftet.

Rechtsfolgen:

Es könnten Ihnen Maßnahmen von Datenschutzaufsichtsbehörden verhängt werden (Bußgeld). Natürlich könnten Sie auch von Betroffenen, wie auch von Mitbewerbern, abgemahnt werden.

Für welche Länder hat die EU-Kommission ein angemessenes Datenschutzniveau festgestellt?

Die EU-Kommission gab sogenannte Angemessenheitsbeschlüsse für die Schweiz, Neuseeland, Andorra, Argentinien, die Färöer Inseln, Guernsey, Japan, Kanada und Israel ab.

Welche Voraussetzungen müssen erfüllt werden um ein angemessens Datenschutzniveau zu erfüllen?

Die Staaten müssten die sogenannten „Standard Contractual Clauses“ unterzeichnen. Das sind vorgefertigte Verträge, in denen sich die Staaten zur Einhaltung des Europäischen Datenschutzniveaus verpflichteten oder sich selbst verbindliche Datenschutzregeln unterstellen (sog. „Bindung Corporate Rules“). 

Weiterhin wäre ein angemessenes Datenschutzniveau gegeben, wenn die Übermittlung/ Verarbeitung der Daten in Drittländern erforderlich ist und für den Betroffenen auch erkennbar ist. Das wäre beispielsweise der Fall, wenn der Betroffene eine Reise in ein Drittland gebucht hat oder in ein Drittland eine Email versendet.

Des Weiteren würde die Einwilligung des Betroffenen zur einem angemessenem Datenschutzniveau führen. Leider führen solche Einwilligungen in der Realität zu Intransparenz und es fehlt oft an der Freiwilligkeit des Betroffenen.

Geltung des Urteils bezüglich anderer Länder als die USA: 

Das Urteil des EuGH hat keine direkte Auswirkung auf Datentransfers in andere Länder außerhalb der EU, wenn sie sich auf Standardvertragsklauseln (siehe oben) stützen können. 

Das sind zB. Länder wie Indien, Vietnam, Russland oder China. 

Außnahme:  das Datenschutzniveau ist auch dort nicht gleichwertig, was sich bei vielen Ländern geradezu aufdrängt. 

Rechtliche Folge: der Datentransfers in solche Länder wäre auch potentiell unwirksam.

Fazit 

Die EU ist nun aufgerufen, schnell für Rechtsklarheit zu sorgen und eine Datenverarbeitung in Drittländern (wie den USA) langfristig zu ermöglichen. Daten können nicht ausschließlich in Europa verarbeitet werden, da es technisch kaum umsetzbar wäre und auch einen massiven Wettbewerbsnachteil für europäische Unternehmen bedeuten würde.

Dieses Urteil hat natürlich starke Folgen für die Internetwirtschaft und auch auf alle internationalen Geschäftsmodelle zwischen der EU und den USA, wenn sie auf den Austausch von personenbezogenen Daten angewiesen sind. Standardvertragsklauseln für Unternehmen einen enormen Aufwand bedeuten. 

Wenn Sie unsicher sind, dann weichen Sie nun am besten auf EU-Server aus, anstatt auf US-Anbieter zurückzugreifen, setzen keine US-Dienstleister ein und fragen nach Standardvertragsklauseln und prüfen diese! Wenn es Ihnen möglich sein sollte, holen Sie zusätzlich die Einwilligung der Betroffenen ein.

Sie haben Fragen zum Thema Standardvertragsklauseln und Datenschutz? Melden Sie sich bei uns! Wir stehen Ihnen schnell und unkompliziert zur Seite und beraten Sie gerne.

Lesen Sie auch unseren Artikel zum Thema „Facebook wieder vor dem EuGH