Was ist passiert?

Mit Urteil vom 16.7.2020 hat der EuGH in einem Vorabentscheidungsverfahren (C-3111/18) des irischen High Courts entschieden, dass das Privacy-Shield-Abkommen zwischen der EU und den USA ungültig sei. Dieses Abkommen sah vor, dass in der EU ansässige Unternehmen ihre personenbezogenen Daten an ihre Mutterkonzerne, oder auch nur Geschäftspartner in den USA übermitteln durften. Zur Entscheidung kam es durch eine Klage des Datenschützers Max Schrems, der die Weitergabe von personenbezogenen Daten durch Facebook Ireland Ltd. an seinen Mutterkonzern Facebook Inc. und den mangelnden Schutz vor US-amerikanischen Überwachungsbehörden kritisierte.

Was sind die Folgen?

Die Folge ist eine große Umstellung für viele unionseuropäische Unternehmen, die mit US-amerikanischen Unternehmen zusammenarbeiten. Sie dürfen nun ihre Daten nicht mehr auf Basis des Privacy-Shield austauschen können. Der Grund dafür liegt darin, dass die EU für den Datenaustausch mit Drittländern einen hohen Sicherheitsstandard vorsieht. Laut Art. 44 DSGVO dürfen personenbezogene Daten aus der EU nur dann in Drittländer übermittelt werden, wenn diese einen der EU adäquaten Datenschutz gesetzlich verankert haben und auch gewährleisten. Der Privacy-Shield genügt dem nicht mehr, weshalb es fortan einige Punkte gibt, auf die man als Unternehmen achten muss, um hohen Bußgeldern und Schadensersatzforderungen zu entgehen. Der Landesbeauftragte für Datenschutz und Informationstechnik des Landes Bandes-Württemberg hat diesbezüglich bereits eine Übersicht zusammengestellt, was unionseuropäische Unternehmen in Zukunft beachten sollten, wenn sie weiterhin mit US-amerikanischen Unternehmen Datenverkehr austauschen. Wir haben dies nochmal verkürzt in Form einer Checkliste zusammengefasst.

Checkliste:

1. Checken Sie, ob ihr Unternehmen personenbezogenen Datenverkehr mit einem dem US-Recht unterliegenden Unternehmen austauscht

Hier ist die Schwierigkeit nicht die allseitsbekannten US-Unternehmen, wie Facebook, Google oder Microsoft ausfindig zu machen, sondern beispielsweise in der EU ansässige Dienstleister, die wiederum selbst Subunternehmen in den USA führen.

2. Setzen Sie sich mit ihrem Vertragspartner in Verbindung und informieren Sie ihn über die aktuelle Änderung der hiesigen Datenschutzbestimmungen

Sobald Sie die in Frage kommenden Unternehmen ausfindig gemacht haben, mit denen Sie kooperieren, sollten Sie diese umgehend über die neue Entscheidung des EuGH in Kenntnis setzen und auch mögliche Konsequenzen aufzeigen.

3. Versuchen Sie den Datenverkehr mit Standardvertragsklauseln erneut rechtlich abzusichern

Die Kommission hat für den Datenexport in Drittländer sogenannte Standardvertragsklauseln (Art. 46 Abs. 2c DSGVO) erstellt: https://eurlex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087. In Ländern, in denen Behörden oder sonstigen Stellen des Drittlandes in unverhältnismäßiger Art und Weise in die Rechte der betroffenen Personen eingreifen können, reichen diese jedoch nicht aus. Die USA wurden als solches Land eingestuft. Es bedarf also noch weiterer Garantien, wie etwa einer Verschlüsselung der Dateien, einer Hortung der Dateien in einem der DSGVO unterliegendem Land, oder schlicht dem Nichtexport der Dateien in das Drittland.

4. Ausnahmevorschrift Art. 49 DSGVO prüfen

Sollte Sie nach Durchgang aller rechtlichen Möglichkeiten diese nicht erfüllen können, so gäbe es noch die Ausnahmevorschrift Art. 49 DSGVO. Da es sich hierbei aber eben um eine Ausnahmevorschrift handelt, müssen hierfür auch die in der Norm aufgezählten Tatbestände vorliegen. Diese wären beispielsweise, dass die betroffene Person in eine Datenübertragung ausdrücklich einwilligt unter Aufklärung der damit einhergehenden Risiken. Eine Übermittlung aus wichtigen Gründen des öffentlichen Interesses, oder zum Schutz lebenswichtiger Interessen der betroffenen Personen. Weitere Ausnahmen sind in Art. 49 DSGVO abschließend enumerativ aufgezählt.

Was ist, wenn mein Unternehmen Daten in andere Drittländer exportiert?

Selbstverständlich betrifft das Urteil nicht nur den Datenexport in die USA. Die DSGVO entfaltet ihre Wirkung auf alle Datenübertragungen in Drittländer. Daher sollte zunächst geprüft werden, ob ein Angemessenheitsbeschluss (Art. 45 DSGVO) für das Land vorliegt, in das die personenbezogenen Daten exportiert werden. Dies betrifft beispielsweise Kanada, Japan, Neuseeland oder die Schweiz (ausführliche Liste: https://ec.europa.eu/info/law/lawtopic/data-protection/international-dimension-data-protection/adequacydecisions_en). Dann sollten Sie überprüfen, ob Sie die oben bereits erwähnten Standvertragsklauseln für das jeweilige Land unverändert nutzen können, oder wie bei den USA neuerdings noch zusätzliche Garantien vertraglich verankern müssten.