Der Europäische Gerichtshof (EuGH) hat am Donnerstag 16.07.2020 im sogenannten "Schrems II"-Urteil entschieden: Für uns als Beobachter der Datenschutz-Rechtsprechung wenig überraschend wurde das „Privacy Shield“-Abkommen zwischen der EU und den USA für ungültig erklärt. Im Ergebnis sind nun Übertragungen von personenbezogen Daten im unternehmerischen Kontext zwischen der EU und den USA größerer Rechtsunsicherheit unterworfen. Lesen Sie hier, wie Sie mit der aktuellen Situation am besten umgehen.
Hintergründe für das Aus für das "Privacy Shield"
Um zu verstehen, wie Datenübertragungen in Nicht- EU-Länder funktionieren, sollte man sich das Konzept des Angemessenheitsbeschlusses und die Standarddatenschutzklauseln (auch als Standardvertragsklauseln bekannt) anschauen.
Tipps vom yourIT-Datenschutz-Team nach dem Aus für das "Privacy-Shield" |
Aus Sicht eines Nicht-EU-Landes ist ein Angemessenheitsbeschluss ein gute Sache, da in ihm die EU-Kommission dem Land bescheinigt, eine Datenschutzrechtssystem mindestens auf dem Niveau der EU-DSGVO zu haben. Damit können viele Rechtsinstrumente der EU-DSGVO angewandt werden, insbesondere auch die Auftragsverarbeitung gemäß Artikel 28 EU-DSGVO.
Standardvertragsklauseln sind wiederum Vertragsklauseln die zwischen datenaustauschenden Unternehmen geschlossen werden, wobei ein Unternehmen einem Rechtssystem unterworfen ist, in dem eben nicht das Schutzniveau der EU-DSGVO garantiert wird. Entsprechend wird das Schutzniveau auf vertraglicher Ebene zwischen privatrechtlichen Akteuren garantiert. Allerdings können Unternehmen Datenübertragungen mit Standardvertragsklauseln nur dann abschließen, wenn das Rechtssystem des Nicht-EU-Landes es dem Unternehmen überhaupt ermöglicht, die Standardvertragsklauseln einzuhalten.
Das Problem für Übertragungen in die USA mit Standardvertragsklauseln ist z.B. nicht die vermeintlich mangelnde Datenschutzgesetzgebung in den USA, sondern die weitreichenden Zugriffsmöglichkeiten der Ermittlungsbehörden auf Daten im Rahmen des „Patriot Acts“.
Das „Privacy Shield“ ist nun ein partiell geltender Angemessenheitsbeschluss der EU-Kommission (siehe unseren Blogbeitrag "Was ist der Privacy Shield"). Der Privacy Shield gilt nur für die unter dem "EU-U.S. Privacy Shield" zertifizierten US-Organisationen. Entsprechende Organisationen konnten also u.a. mit den Standardvertragsklauseln arbeiten. Immerhin und für uns ein wenig überraschend: Nur das „Privacy Shield“ wurde gekippt, nicht aber die Standardvertragsklauseln. Diese wurden vom EuGH sogar explizit als gültig angesehen.
Ebenso ging es im Oktober 2015 dem Vorgänger-Abkommen "Safe Harbor".
Soweit so gut – aber wie geht es weiter? Unmittelbare Konsequenz ist, dass (fast) alle Auftragsverarbeitungen, die mit einem US-Unternehmen als Auftragnehmer geschlossen wurden, ab sofort nicht mehr gültig sind - also z.B. mit Google im Rahmen der Nutzung von Google Analytics oder auch mit Microsoft rund um Office 365.
Kurzfristig wird sich erst mal nichts ändern, mittelfristig werden sich vermutlich Lösungen zwischen Unternehmen in der EU, Unternehmen in den USA und den Aufsichtsbehörden herauskristallisieren. Alle Akteure haben jetzt die komplexe Aufgabe, das Urteil praktisch anzuwenden. Und: Zum jetzigen Zeitpunkt ist noch nicht mal das gesamte Urteil veröffentlicht.
Entsprechenden empfehlen wir Ihnen folgendes Vorgehen: Prüfen Sie, ob Sie als Daten-Exporteur (z.B. als Auftraggeber in einer Auftragsverarbeitung, eigenständiger Verantwortlicher oder im Rahmen der gemeinsamen Verantwortlichkeit) personenbezogene Daten in die USA weiterleiten.
Falls dem so ist, kontaktieren Sie den Anbieter oder Partner und fragen Sie, wie er mit dem EuGH-Beschluss zum „Privacy Shield“ umgehen möchte.
Egal wie die Antwort oder Nicht-Antwort ausfällt, unternehmen Sie vorerst keine anderen substanziellen Schritte. Ziel ist es jetzt erstmal, vorbereitet zu sein und Aktivität zu zeigen. Die Zeit ist noch nicht reif, um Entscheidungen zu treffen. Eine Ausnahme hiervon ist, wenn Ihr Gegenüber vor hat, ein rechtlich eigenständiges Unternehmen in der EU zu gründen und dort alle Verarbeitungen durchzuführen. Hier können Sie natürlichen unseren empfohlenen Abläufen beim Datenaustausch mit Externen folgen.
Unsere Aufgabe als Datenschutz-Berater und externer Datenschutzbeauftragter für Ihr Unternehmen sehen wir darin, die Situation zu beobachten und Sie dann zum Handeln zu ermutigen, wenn sich gangbare Strategien entwickelt haben.
Maßnahmen nach dem Aus für das "Privacy Shield"
Soweit so gut – aber wie geht es weiter? Unmittelbare Konsequenz ist, dass (fast) alle Auftragsverarbeitungen, die mit einem US-Unternehmen als Auftragnehmer geschlossen wurden, ab sofort nicht mehr gültig sind - also z.B. mit Google im Rahmen der Nutzung von Google Analytics oder auch mit Microsoft rund um Office 365.
Kurzfristig wird sich erst mal nichts ändern, mittelfristig werden sich vermutlich Lösungen zwischen Unternehmen in der EU, Unternehmen in den USA und den Aufsichtsbehörden herauskristallisieren. Alle Akteure haben jetzt die komplexe Aufgabe, das Urteil praktisch anzuwenden. Und: Zum jetzigen Zeitpunkt ist noch nicht mal das gesamte Urteil veröffentlicht.
Unsere Empfehlungen nach dem Aus für das "Privacy Shield"
Entsprechenden empfehlen wir Ihnen folgendes Vorgehen: Prüfen Sie, ob Sie als Daten-Exporteur (z.B. als Auftraggeber in einer Auftragsverarbeitung, eigenständiger Verantwortlicher oder im Rahmen der gemeinsamen Verantwortlichkeit) personenbezogene Daten in die USA weiterleiten.
Falls dem so ist, kontaktieren Sie den Anbieter oder Partner und fragen Sie, wie er mit dem EuGH-Beschluss zum „Privacy Shield“ umgehen möchte.
Egal wie die Antwort oder Nicht-Antwort ausfällt, unternehmen Sie vorerst keine anderen substanziellen Schritte. Ziel ist es jetzt erstmal, vorbereitet zu sein und Aktivität zu zeigen. Die Zeit ist noch nicht reif, um Entscheidungen zu treffen. Eine Ausnahme hiervon ist, wenn Ihr Gegenüber vor hat, ein rechtlich eigenständiges Unternehmen in der EU zu gründen und dort alle Verarbeitungen durchzuführen. Hier können Sie natürlichen unseren empfohlenen Abläufen beim Datenaustausch mit Externen folgen.
Unsere Aufgabe als Datenschutz-Berater und externer Datenschutzbeauftragter für Ihr Unternehmen sehen wir darin, die Situation zu beobachten und Sie dann zum Handeln zu ermutigen, wenn sich gangbare Strategien entwickelt haben.
Zum Aus des Privacy Shield gibt es weitere Posts in unseren Blogs: