Knowledge Hub

EuGH kippt Privacy Shield – Was Sie jetzt wissen müssen

Knowledge Hub Knowledge EuGH kippt Privacy Shield – Was Sie jetzt wissen müssen
  • Der freie Datenaustausch zwischen der EU und den USA ist unzulässig: Der EuGH erklärte das “EU-US-Privacy Shield”, eine Zertifizierung mit der US-amerikanischen Unternehmen (Drittland) ein angemessenes Datenschutzniveau zugesprochen wurde, für nichtig. 
  • Der EuGH hielt fest, dass die sog. Standardvertragsklauseln, die von der EU Kommission als Mustervertragsklauseln zur Erfüllung der Anforderungen der EU-Datenschutzrichtlinie vorgeschlagen wurden, hingegen nicht gegen die Grundrechtecharta verstoßen und damit als Grundlage für den Datentransfer gültig bleiben.

Was ist die Vorgeschichte?  

Nach dem Erfolg gegen das Safe Harbor Abkommen im Jahr 2015, dem Vorgänger des Privacy Shields, ging der österreichische Datenschützer Maximilian Schrems nun gegen die Weitergabe von Daten der Facebook Ireland Ltd. an deren Muttergesellschaft in den USA vor. Das Thema wurde zuletzt dem EuGH zur Klärung vorgelegt. Zentrale Frage war dabei, ob die “Privacy Shield”-Zertifizierung den Vorgaben der DSGVO genügen. 

Das Urteil: Der EuGH kippte das “Privacy Shield” mit der Begründung, dass Facebook verpflichtet sei, Daten an die US-Geheimdienste FBI und NSA weiterzuleiten. 

Das bedeutet: Wurden Daten einmal in die USA übermittelt, bedarf es für den Geheimdienst keinen weiteren richterlichen Beschlusses, um Daten von Privatpersonen nutzen und auswerten zu können. 

Rechtliche Begründung:

Der EuGH sieht in der Übermittlung der Daten eine erhöhte Gefahr, dass natürliche Personen ihre Rechte nicht wahrnehmen können, um sich gegen die unrechtmäßige Nutzung oder Offenlegung der Informationen zu schützen, insbesondere damit das Recht auf Untersuchung von Beschwerden ausgeübt werden kann. Durch eine etwaige Behinderung der Aufsichtsbehörden könne zudem das grundsätzliche Recht einen wirksamen gerichtlichen Rechtsbehelf einzulegen ausgehebelt werden.    

Zur offiziellen Pressemitteilung: “Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig”

Was ändert sich jetzt für europäische Unternehmen? 

Sofern bei der Auswahl amerikanischer Unternehmenspartner bisher auf die “Privacy Shield”-Zertifizierung vertraut wurde, besteht Handlungsbedarf. 

Da der EuGH die Standardvertragsklauseln nicht beanstandet hat, müssen Unternehmen nun überprüfen, ob bei einem etwaigen Datentransfer in die USA die Möglichkeit besteht, Standardvertragsklauseln zur Gewährleistung eines angemessenen Datenschutzniveaus abzuschließen. Die europäischen Richter stellten fest, dass Standardvertragsklauseln zur Datenübertragung ins Ausland nicht gegen die Charta der Grundrechte der Europäischen Union verstoßen.

 

Der EuGH empfiehlt: Kann ein angemessenes Datenschutzniveau nicht nachgewiesen werden, sollte der Datenverkehr zwischen der EU und den USA zunächst ausgesetzt werden, es sei denn, Standardvertragsklauseln wurden vereinbart, deren Einhaltung überprüft und sichergestellt. Unternehmen müssen geeignete Garantien für den Schutz der betroffenen Person vorsehen. Dies kann darin bestehen, dass auf verbindliche interne Datenschutzvorschriften, von der Kommission oder von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln oder von einer Aufsichtsbehörde genehmigte Vertragsklauseln zurückgegriffen wird.

So gehen wir bei Usercentrics damit um

Usercentrics speichert und verarbeitet Daten ausschließlich auf Google Servern in der Europäischen Union. Wichtig zu wissen: Google ist zwar Privacy Shield zertifiziert, bietet aber für Kunden der Google Cloud Platform auch die Möglichkeit an, Standardvertragsklauseln abzuschließen. Da diese laut EuGH nicht gegen Grundrechte der EU verstoßen, kann hier ein etwaiger Datentransfer in die USA auf Grundlage dieser Klauseln stattfinden. 

Um bei einem möglichen Transfer (beispielsweise im Fall einer Wartung) weiterhin ein sicheres Datenschutzniveau zu gewährleisten, hat Usercentrics zur Absicherung die Standardvertragsklauseln mit Google abgeschlossen. Diese wurden nach Angabe von Google von den EU-Datenschutzaufsichtsbehörden (ehemals: Artikel-29-Gruppe, nun: EDSA) überprüft und erfüllen die Vorgaben der DSGVO. 

Wie geht es weiter? 

→ Die Möglichkeiten: Entweder die USA hebt das Datenschutzniveau an, oder der Datentransfer zwischen der EU und den USA gerät ins Stocken. Gerade die Empfehlung des EuGH, den Datenverkehr notfalls auszusetzen, wird hier viele amerikanische Unternehmen unter Druck setzen.

→ Auch denkbar: Amerikanische Firmen sollten über die Möglichkeit nachdenken, Rechenzentren in der EU zu eröffnen, um einen Datentransfer zu vermeiden.

→ Generell: Der europäische Datenschutzausschuss (EDSA), welcher als unabhängige europäische Einrichtung die Zusammenarbeit zwischen den Datenschutzbehörden der EU fördert  begrüßt das Urteil des EuGH und beabsichtigt, weiterhin eine konstruktive Rolle bei der Sicherstellung eines transatlantischen Transfers personenbezogener Daten zu spielen, der den EU-Bürgern und -Organisationen zugute kommt. Zudem plant er der Europäischen Kommission Unterstützung und Anleitung zu geben, um ihr dabei zu helfen, zusammen mit den USA einen neuen Rahmen zu schaffen, der voll und ganz dem EU-Datenschutzrecht entspricht.

 

Autoren: Legal Team Usercentrics

 

DISCLAIMER

Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.

Diese Ausführungen stellen somit auch keine Rechtsberatung dar. Sie dienen lediglich dazu, Sie mit Informationen über die aktuelle Rechtslage bei der Umsetzung einer CMP Lösung zu unterstützen. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden.