EuGH kippt Privacy Shield – Fehlende Sicherheit der Daten beim Datenaustausch zwischen der EU und den USA

Knowledge Base der Datenbeschützerin

Am 16.07.2020 hat der Europäische Gerichtshof das Privacy Shield für ungültig erklärt.

Die nachfolgende kurze Zusammenfassung stellt natürlich keine Rechtsberatung dar. Aufgrund der Aktualität des Urteils werden sich die Handlungsvorschläge von Behörden und Verbänden in den nächsten Wochen und Monaten sicherlich noch konkretisieren.

Auf den Punkt gebracht: Das EU – US Privacy Shield wurde für ungültig erklärt

Auf den Punkt gebracht: Datenübermittlung in Drittländer

Vorgeschichte

Der vorgelagerte Rechtsstreit begann schon im Jahr 2013, als Max Schrems Beschwerde einreichte. Es ging darum, dass Facebook die Daten seiner Nutzer (u.a. von Herrn Schrems) an das Unternehmen in den USA übermittelt. Hier läge kein ausreichender Schutz der personenbezogenen Daten vor dem Zugriff der amerikanischen Behörden vor.

Rechtlicher Rahmen

Im Verfahren wurde auf verschiedene Entscheidungen und Gesetze Bezug genommen. Die damals gültige Richtlinie 95/46 wurde während des Verfahrens aufgehoben und durch die DSGVO ersetzt.

DSGVO

Ohne auf die einzelnen Artikel der DSGVO aus der Urteilsverkündung einzugehen, möchte ich doch die herangezogenen Erwägungsgründe nennen. Es lohnt sich, diese im aktuellen Zusammenhang einzusehen (da die meisten ja weniger die Erwägungsgründe lesen und sich nur auf die Artikel stützen):

  • Erwägungsgrund 6 (technologische Entwicklung und Globalisierung)
  • Erwägungsgrund 10 (einheitliches Datenschutzniveau für natürliche Personen)
  • Erwägungsgrund 101 (Datenübermittlung in Drittstaaten nach festgelegten Bedingungen)
  • Erwägungsgrund 103 (Festlegung der Kommission, dass ein Drittland oder ein bestimmter Sektor ein angemessenes Datenschutzniveau bietet)
  • Erwägungsgrund 104 (Bewertung des Drittlands auf die Übereinstimmung mit den Grundwerten der Union)
  • Erwägungsgrund 107 (Verbot der Übermittlung in ein Drittland durch die Kommission)
  • Erwägungsgrund 108 (Alternativen zu einem Angemessenheitsbeschluss)
  • Erwägungsgrund 109 (Standard-Datenschutzklauseln)
  • Erwägungsgrund 114 (Möglichkeiten bei fehlendem Angemessenheitsbeschluss durch die Kommission)
  • Erwägungsgrund 116 (fehlende Betroffenenrechte im Drittland)
  • Erwägungsgrund 141 (Beschwerderecht)

SDK-Beschluss

Es wird auf verschiedene Erwägungsgründe und Artikel des SDK-Beschlusses verwiesen. Zudem wird auf den Anhang der Standardvertragsklauseln verwiesen. Dieser enthält 12 Standardklauseln.

DSS-Beschluss

Verweis auf das Urteil vom 6.10.2015, welches den damaligen Angemessenheitsbeschluss „Safe Harbour“ für ungültig erklärt hat.

Entscheidung des EuGHs

EU-US Privacy Shield

Der Angemessenheitsbeschluss für das EU-US Privacy Shield wurde für ungültig erklärt. Mögliche Zugriffe der Regierungsbehörden der USA aufgrund der Erfordernisse der nationalen Sicherheit und des öffentlichen Interesses seien nicht in Einklang mit den Grundrechten der EU-Bürger zu bringen.

EU-Standardvertragsklauseln

Schön ist, dass die Standardvertragsklauseln weiterhin gültig bleiben. So das aktuelle Urteil. Diese sind eine der Möglichkeiten, die eine Übermittlung ins Drittland zulässig machen können.
Da natürlich die alleinige Verwendung der Standardvertragsklauseln auch nicht zwingend eine Garantie für den Schutz der Daten der betroffenen Personen ist, müssen diese noch erweitert werden. Diese Möglichkeit besteht allerdings, um das Schutzniveau zu erhöhen.

Welche Auswirkungen hat das ungültige EU-US Privacy Shield?

Ungültige Datenweiterleitung in die USA

Basiert Ihr Auftragsverarbeitungsvertrag auf dem Angemessenheitsbeschluss des EU-US Privacy Shields, ist diese Verarbeitung nun nicht mehr gültig. Wie dies aktuell in der Praxis gehandhabt wird, wird sich zeigen.

Für die Datenverarbeitung müssen nun sehr wahrscheinlich zusätzliche Garantien geschaffen werden, die sicherstellen, dass die Daten der Betroffenen entsprechend dem europäischen Niveau geschützt werden.

Neue Regelungen durch erweiterte Standardvertragsklauseln

Dies kann durch die Erweiterung der Standardvertragsklauseln geschaffen werden. Hierbei ist besonders auf die Maßnahmen von Datenexporteur (in der Regel der Verantwortliche) und Datenimporteur (der Auftragsverarbeiter) einzugehen.

Leider ist nicht ganz eindeutig, welche Maßnahmen aus Sicht des Gerichts als ausreichend gelten und welche unzulässig erscheinen. Wir hoffen, dass es hier in Kürze eine konkrete Hilfestellung geben wird.

Bis die Standardvertragsklauseln konkretisiert und erweitert werden, ist der Verantwortliche in der Pflicht, die Lage im Drittland zu kontrollieren. Laut GDD soll dies dann je nach Situation über eine Einzelfallprüfung zu evaluieren sein. Aber seien wir ehrlich – wie realistisch ist dies für ein kleines oder mittelständisches Unternehmen in der Praxis?

Fazit zum EuGH Urteil des gekippten EU-US Privacy Shields

Dass das Privacy Shield auf Dauer so nicht Bestand haben würde, überrascht wohl die wenigsten. Dass das Ende allerdings so unvermittelt kam (aus Sicht der meisten), war nicht zu erwarten.

Dass die Standardvertragsklauseln erweitert werden müssen, aber trotzdem gültig bleiben, ist ein positives Zeichen. Wie mit den Standardvertragsklauseln allerdings amerikanisches Recht mehr oder weniger umgangen werden soll, ist aus unserer Sicht nicht ganz nachvollziehbar.

In den USA gibt es verschiedene rechtliche Grundlagen, die es rechtfertigen, dass den Behörden Zugriff auf personenbezogene Daten gewährt wird. Dies kann allein durch die Standardvertragsklauseln nicht umgangen werden. Im ausführlichen Urteil des EuGHs wird allerdings auch noch einmal detailliert darauf eingegangen, welche Rechte nicht US-Bürgern in Bezug auf diese Datenüberwachung zustehen. Vielleicht ist es auch ein Ansatz, hier transparenter zu werden.

Nichtsdestotrotz ist es eine Anforderung des Urteils, die Daten der EU-Bürger vor dem Zugriff der Regierungsbehörden zu schützen. Wir sind gespannt, wie dies durch die erweiterten Standardvertragsklauseln geschehen wird.

Bußgelder für Datenübermittlung in die USA

Der GDD fordert, die Sanktionsmaßnahmen von EU-Aufsichtsbehörden vorerst auszusetzen, wenn sich diese auf Datenexporte in die USA beziehen, die auf der Grundlage des Privacy Shields beruhen.

Wie dies in der Praxis tatsächlich Anwendung findet, ist aktuell noch offen.

Was heißt das für Sie als Verantwortlicher?

Wenn Sie Datenverarbeitungen in die USA weiter geben, die sich auf das Privacy Shield beziehen, wurde diesen nun die Rechtsgrundlage entzogen. Diese Verfahren sind aktuell nicht mehr gültig.

Wo greifen Sie auf Auftragsverarbeiter in den USA zurück?

  • Im Idealfall haben Sie eine Übersicht Ihrer Auftragsverarbeiter, zB
  • Aktuell sollten Sie Auftragsverarbeiter in den USA betrachten.
  • Welcher der Auftragsverarbeiter bezieht sich auf das EU-US Privacy Shield?

„Überlebensnotwendige“ Auftragsverarbeiter

Viele Anbieter in den USA bieten Onlineservices an, die unser Leben und arbeiten erleichtern, aber nicht zwingend für das „Überleben“ des Business notwendig sind. Videokonferenzanbieter oder Newsletter-Dienstleister sind wichtig, aber nicht für jedes Unternehmen in der täglichen Anwendung zwingend notwendig.

Prüfen, Sie, ob Sie die Dienstleistung Ihres Auftragsverarbeiters (welche auf Basis des EU-US Privacy basiert) kurzfristig aussetzen können. Wie sich die Anbieter dazu verhalten werden, ist natürlich noch offen.

Wir gehen aber davon aus, dass die betroffenen US-Anbieter, sicherlich in Kürze mit einer Lösung aufwarten werden.

Prüfung im Einzelfall

Sind Sie auf einen Verarbeiter in den USA zwingend angewiesen, sollten Sie tatsächlich eine Einzelfallprüfung des Schutzniveaus in Erwägung ziehen. Kontaktieren Sie in diesem Fall den Anbieter und sprechen Sie mit ihm die weitere Vorgehensweise durch.

Quellen:

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!
Regina Stoiber

Seit über 10 Jahren bin ich nun im Bereich Informationssicherheit und Datenschutz tätig. Mit Begeisterung für das Thema bin ich seit einigen Jahren nun selbständig. Ich unterstütze Sie, beim Schützen Ihrer Daten. Praxisorientiert, strukturiert und persönlich.

One Comment on “EuGH kippt Privacy Shield – Fehlende Sicherheit der Daten beim Datenaustausch zwischen der EU und den USA”

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.