cyber-security-3194286_1920

„Schrems II“ – Auswirkungen der Unwirksamkeit des EU-US-Datenschutzschild („Privacy Shield“)

Diesen Beitrag teilen
Share on linkedin
Share on twitter
Share on xing
Share on facebook
Share on print
Share on email

Worum geht es in diesem Beitrag:

Mit dem Urteil in der Sache „Schrems II“ vom 16.07.2020 hat der Europäische Gerichtshof (EuGH) den EU-US-Datenschutzschild („Privacy Shield“) für unwirksam erklärt. Der Privacy Shield diente bislang als Grundlage für einen DS-GVO-konformen Datentransfer zwischen der Europäischen Union und den USA.

Ausgangssituation: Art. 44 DS-GVO verlangt angemessenes Datenschutzniveau bei Übermittlung personenbezogene Daten in Drittländer

Die DS-GVO verlangt nach Art. 44 DS-GVO, dass personenbezogene Daten nur dann in ein Drittland, d.h. in sog. „Nicht-Vertragsstaaten“, übermittelt werden dürfen, wenn in diesem Drittland ein angemessenes Datenschutzniveau gewährleistet wird. Nach Art. 45 DS-GVO ist dies jedenfalls dann der Fall, wenn die EU-Kommission ein angemessenes Schutzniveau festgestellt hat.  Mit dem Angemessenheitsbeschluss vom 1. August 2016 über den Privacy Shield stand bislang eine Grundlage für Datenübermittlungen in die USA zur Verfügung. Sofern US-Unternehmen sich freiwillig zu Grundprinzipien im Umgang mit personenbezogenen Daten verpflichtet haben, konnten sie sich entsprechend zertifizieren lassen.

Problem: Privacy Shield ist ungültig

Der EuGH hat in seiner Entscheidung nun den Privacy Shield für ungültig erklärt, da aufgrund von Befugnisse der US-Geheimdienste und der Rechtslage in den USA kein angemessenes Datenschutzniveau sichergestellt werden kann. Gibt es – wie derzeit aufgrund der Entscheidung in Sachen „Schrems II“ – keinen wirksamen Angemessenheitsbeschluss, darf die Übermittlung personenbezogener Daten nur dann erfolgen, wenn der in der EU niedergelassene Verantwortliche (sog. Datenexporteur) über angemessene Garantien verfügt und wenn den Betroffenen  durchsetzbare Rechte und wirksame Rechtsmittel im Drittstaat zur Verfügung stehen. Eine dieser Garantien sind die Standarddatenschutzklauseln der EU-Kommission gem. Art. 46 Abs. 2 c DS-GVO (sog. Standardvertragsklauseln), welche vom EuGH als weiterhin gültig erklärt wurden. Allerdings werden in der Entscheidung bestimmte Pflichten der Verantwortlichen hervorgehoben, die sich aus der Verwendung der Klauseln ergeben. Zusätzlich zur Verwendung der Standardvertragsklauseln ist mithin entweder erforderlich, dass der Drittstaat ein angemessenes Schutzniveau bietet – was im Falle der USA nicht mehr gegeben ist – oder weitere Garantien hinzukommen.

Folge für Unternehmen bei der Übermittlung personenbezogener Daten

Als erstes sollten Unternehmen prüfen, ob sie personenbezogene Daten im Auftrag von Unternehmen verarbeiten lassen, die entweder keinen  Sitz in der EU/ EWR haben und/ oder ausschließlich Daten außerhalb der EU/ EWR hosten. Von der EuGH Entscheidung ist nämlich nicht nur die Datenübermittlung in die USA, sondern in alle Drittstaaten betroffen.

Haben Unternehmen Auftragsverarbeiter (sog. Datenimporteure) aus Drittstaaten, muss geprüft werden, auf welcher vertraglichen Grundlage bislang verarbeitet wurde. Wenn man die Daten in die USA übermittelt, stellt der Privacy Shield keine gültige Rechtslage mehr dar. Hier hat man einen konkreten Handlungsbedarf, weil ein rechtswidriger Datentransfer Bußgelder und Schadensersatzforderungen zur Folge haben kann.

Entschied man sich bereits in der Vergangenheit für Standardvertragsklauseln, dürfen diese auch weiter verwendet werden, allerdings muss der Verantwortliche prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende Maßnahmen treffen. Für die USA wurde bereits festgestellt, dass hier eben kein angemessenes Schutzniveau besteht. Hier können nur noch mehr zusätzliche Garantien wie zum Bespiel Verschlüsselung, Anonymisierung und Pseudonymisierung helfen.

Bei einer Übermittlung in andere Drittstaaten sollte man zunächst überprüfen, ob es für dieses Land einen Angemessenheitsbeschluss nach Art. 45 DS-GVO gibt. Ein solcher besteht bereits u.a. für die Schweiz, Argentinien, Kanada, Japan und Neuseeland. Fehlt es an einem solchen Beschluss, muss man sich über die Rechtslage im Drittland informieren um die Frage zu klären, ob dort ein angemessen Schutzniveau herrscht. In solchen Fällen empfiehlt sich eine Zusammenarbeit mit dem Datenimporteur im Drittland. Eine Möglichkeit wäre, die konkreten Datenflüsse zu analysieren, um festzustellen, welche Gesetze des Drittlandes jeweils Anwendung finden. Sämtliche Ergebnisse sollte man auf jeden Fall dokumentieren um seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zu genügen.

Fazit für Unternehmen und Datenimporteure

Kann ein Unternehmen gemeinsam mit dem Datenimporteur keine Grundlage finden, die einen Datentransfer weiterhin legitimiert, muss die Datenübermittlung in das Drittland ausgesetzt werden. Kann der Dienstleister seine Leistung nicht in die EU bzw. dem EWR erbringen, müssen sich betroffene Unternehmen Dienstleister ohne Transferproblematik suchen.  

Haben Sie noch Fragen zu Thema? Melden Sie sich gerne bei uns!
Telefon

Am schnellsten und unkompliziertesten lassen sich Sachverhalte am Telefon besprechen.
Daher stehen wir Ihnen jederzeit unter
+49 89 9545384 0
gerne zur Verfügung

Per Mail oder Fax sind wir rund um die Uhr für Sie erreichbar. Schreiben Sie uns unter
info@reich-ra.de oder +49 89 9545384 99
und Sie erhalten umgehend Rückmeldung