In der Entscheidung „Schrems II“ hat der Europäische Gerichtshof (EuGH) am 16. Juli 2020 in Luxembourg, über die Zulässigkeit internationaler Datentransfers geurteilt: der Nachfolger des „Safe Harbor“, das „EU-US Privacy Shield“ wurde, wenn auch nicht überraschend, gekippt. Der EuGH schafft mit seiner Entscheidung einen klaren Rahmen für den internationalen Datenverkehr mit der Europäischen Union.
Einordnung
Die schon in der Safe Harbor Entscheidung festgelegten Grundsätze sind auch im Privacy Shield nicht angemessen berücksichtigt worden. Das neue Abkommen wurde daher vom EuGH für unzulässig erklärt. Die Begründung: Bei der Übermittlung von personenbezogenen Daten in die USA könne nach EU-Recht kein angemessenes Datenschutzniveau gewährleistet werden. Die amerikanischen Behörden hätten zu weitreichende Befugnisse, um auf die übermittelten personenbezogenen Daten zuzugreifen. Eine Übermittlung von personenbezogenen Daten auf Basis des EU-US Privacy Shield als Gewährleistung des Datenschutzniveaus bei der Verarbeitung von Daten in den USA ist ab sofort nicht mehr möglich.
Ausblick
Die EU-Kommission und das US FTC (Federal Trade Commission) werden wohl ein neues und verbessertes Abkommen aushandeln. Bis dahin bleibt abzuwarten, wie die Datenschutzaufsichtsbehörden der EU mit dem Urteil umgehen. Übermittlungen in die USA, die auf das Privacy Shield gestützt werden, können nicht mehr erfolgen, d.h. hier müssen die Verarbeitungen angepasst werden. Die sog. Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer hingegen bleiben gültig. Sofern die übermittelten personenbezogenen Daten im Rahmen der mit dem Empfänger vereinbarten Standarddatenschutzklauseln ein Schutzniveau genießen, das dem der Union durch die DSGVO garantierten Niveau der Sache nach gleichwertig ist. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes.
Es ist davon auszugehen, dass die Schweiz dem Urteil des EuGH folgt und das Swiss-US Privacy Shield ebenfalls für unzulässig erklärt wird.
Handlungsbedarf
Unternehmen sollten prüfen, inwieweit personenbezogene Daten in die USA übermittelt werden. Ist dies der Fall, muss nach möglichen Alternativen gesucht werden. Die Auswahl von Alternativanbietern hat unter Datenschutz und Datensicherheitsaspekten zu erfolgen. Ein einfaches „Umstellen“ auf Standardvertragsklauseln ist nicht so einfach möglich. Die Unterzeichnung an sich reicht zur Gewährleistung eines angemessenen Schutzniveaus möglicherweise nicht aus. Der Verantwortliche (Datenexporteur) muss ggf. zusätzliche Maßnahmen vereinbaren und ergreifen (dies gilt insbesondere für die USA).
Der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI), Prof. Ulrich Kelber, schreibt zum Schrems-II-Urteil in seiner Pressemitteilung (16.07.2020): „Der EuGH hat die Rolle der Datenschutzaufsichtsbehörden bestätigt und gestärkt. Diese müssen bei jeder einzelnen Datenverarbeitung prüfen und prüfen können, ob die hohen Anforderungen des EuGH erfüllt werden. Das bedeutet auch, dass sie den Datenaustausch untersagen, wenn die Voraussetzungen nicht erfüllt werden.“ (BfDI, 16. Juli 2020)
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
16. Juli 2020