• DE
    • EN
  • Login
Consent Management Platform
Usercentrics
  • ProdukteGanzheitliche Consent Management Software
    • Website Consent Management
    • Mobile Consent Management
    • AMP Consent Management (BETA)
    • Smart Data Protector
    • Automatische Datenschutzerklärung
  • Lösungen
    • DSGVO
    • CCPA
    • TCF 2.0 (CMP für Publisher)
  • Ressourcen
    • Tech Dokumentation
    • Videos
    • FAQ
    • Leitfaden
    • Knowledge Hub
    • Whitepaper
    • Webinare
    • RFI Template
    • Was gibt’s Neues?
  • Preise
  • Partner
    • Finden Sie einen Partner
  • Unternehmen
    • Über uns
    • Karriere
    • Presse
    • Events
    • Kontakt
  • EXPERTENGESPRÄCH BUCHEN
  • Menü
Aktuelle EuGH-Urteile & DSGVO News
20. Juli 2020 | 3 Min. Lesedauer

EuGH kippt Privacy Shield – Was Sie jetzt wissen müssen

Ressourcen
Knowledge Hub
EuGH kippt Privacy Shield – Was Sie jetzt wissen müssen

Inhaltsverzeichnis

Mehr anzeigen Weniger anzeigen
  • Der freie Datenaustausch zwischen der EU und den USA ist unzulässig: Der EuGH erklärte das “EU-US-Privacy Shield”, eine Zertifizierung mit der US-amerikanischen Unternehmen (Drittland) ein angemessenes Datenschutzniveau zugesprochen wurde, für nichtig. 
  • Der EuGH hielt fest, dass die sog. Standardvertragsklauseln, die von der EU Kommission als Mustervertragsklauseln zur Erfüllung der Anforderungen der EU-Datenschutzrichtlinie vorgeschlagen wurden, hingegen nicht gegen die Grundrechtecharta verstoßen und damit als Grundlage für den Datentransfer gültig bleiben.

Was ist die Vorgeschichte?  

Nach dem Erfolg gegen das Safe Harbor Abkommen im Jahr 2015, dem Vorgänger des Privacy Shields, ging der österreichische Datenschützer Maximilian Schrems nun gegen die Weitergabe von Daten der Facebook Ireland Ltd. an deren Muttergesellschaft in den USA vor. Das Thema wurde zuletzt dem EuGH zur Klärung vorgelegt. Zentrale Frage war dabei, ob die “Privacy Shield”-Zertifizierung den Vorgaben der DSGVO genügen. 

Das Urteil: Der EuGH kippte das “Privacy Shield” mit der Begründung, dass Facebook verpflichtet sei, Daten an die US-Geheimdienste FBI und NSA weiterzuleiten. 

Das bedeutet: Wurden Daten einmal in die USA übermittelt, bedarf es für den Geheimdienst keinen weiteren richterlichen Beschlusses, um Daten von Privatpersonen nutzen und auswerten zu können. 

Rechtliche Begründung:

Der EuGH sieht in der Übermittlung der Daten eine erhöhte Gefahr, dass natürliche Personen ihre Rechte nicht wahrnehmen können, um sich gegen die unrechtmäßige Nutzung oder Offenlegung der Informationen zu schützen, insbesondere damit das Recht auf Untersuchung von Beschwerden ausgeübt werden kann. Durch eine etwaige Behinderung der Aufsichtsbehörden könne zudem das grundsätzliche Recht einen wirksamen gerichtlichen Rechtsbehelf einzulegen ausgehebelt werden.    

Zur offiziellen Pressemitteilung: “Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig”

Was ändert sich jetzt für europäische Unternehmen? 

Sofern bei der Auswahl amerikanischer Unternehmenspartner bisher auf die “Privacy Shield”-Zertifizierung vertraut wurde, besteht Handlungsbedarf. 

Da der EuGH die Standardvertragsklauseln nicht beanstandet hat, müssen Unternehmen nun überprüfen, ob bei einem etwaigen Datentransfer in die USA die Möglichkeit besteht, Standardvertragsklauseln zur Gewährleistung eines angemessenen Datenschutzniveaus abzuschließen. Die europäischen Richter stellten fest, dass Standardvertragsklauseln zur Datenübertragung ins Ausland nicht gegen die Charta der Grundrechte der Europäischen Union verstoßen.

 

Der EuGH empfiehlt: Kann ein angemessenes Datenschutzniveau nicht nachgewiesen werden, sollte der Datenverkehr zwischen der EU und den USA zunächst ausgesetzt werden, es sei denn, Standardvertragsklauseln wurden vereinbart, deren Einhaltung überprüft und sichergestellt. Unternehmen müssen geeignete Garantien für den Schutz der betroffenen Person vorsehen. Dies kann darin bestehen, dass auf verbindliche interne Datenschutzvorschriften, von der Kommission oder von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln oder von einer Aufsichtsbehörde genehmigte Vertragsklauseln zurückgegriffen wird.

So gehen wir bei Usercentrics damit um

Usercentrics speichert und verarbeitet Daten ausschließlich auf Google Servern in der Europäischen Union. Wichtig zu wissen: Google ist zwar Privacy Shield zertifiziert, bietet aber für Kunden der Google Cloud Platform auch die Möglichkeit an, Standardvertragsklauseln abzuschließen. Da diese laut EuGH nicht gegen Grundrechte der EU verstoßen, kann hier ein etwaiger Datentransfer in die USA auf Grundlage dieser Klauseln stattfinden. 

Um bei einem möglichen Transfer (beispielsweise im Fall einer Wartung) weiterhin ein sicheres Datenschutzniveau zu gewährleisten, hat Usercentrics zur Absicherung die Standardvertragsklauseln mit Google abgeschlossen. Diese wurden nach Angabe von Google von den EU-Datenschutzaufsichtsbehörden (ehemals: Artikel-29-Gruppe, nun: EDSA) überprüft und erfüllen die Vorgaben der DSGVO. 

Wie geht es weiter? 

→ Die Möglichkeiten: Entweder die USA hebt das Datenschutzniveau an, oder der Datentransfer zwischen der EU und den USA gerät ins Stocken. Gerade die Empfehlung des EuGH, den Datenverkehr notfalls auszusetzen, wird hier viele amerikanische Unternehmen unter Druck setzen.

→ Auch denkbar: Amerikanische Firmen sollten über die Möglichkeit nachdenken, Rechenzentren in der EU zu eröffnen, um einen Datentransfer zu vermeiden.

→ Generell: Der europäische Datenschutzausschuss (EDSA), welcher als unabhängige europäische Einrichtung die Zusammenarbeit zwischen den Datenschutzbehörden der EU fördert  begrüßt das Urteil des EuGH und beabsichtigt, weiterhin eine konstruktive Rolle bei der Sicherstellung eines transatlantischen Transfers personenbezogener Daten zu spielen, der den EU-Bürgern und -Organisationen zugute kommt. Zudem plant er der Europäischen Kommission Unterstützung und Anleitung zu geben, um ihr dabei zu helfen, zusammen mit den USA einen neuen Rahmen zu schaffen, der voll und ganz dem EU-Datenschutzrecht entspricht.

 

Autoren: Legal Team Usercentrics

 

DISCLAIMER

Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.

Diese Ausführungen stellen somit auch keine Rechtsberatung dar. Sie dienen lediglich dazu, Sie mit Informationen über die aktuelle Rechtslage bei der Umsetzung einer CMP Lösung zu unterstützen. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden.

Ähnliche Artikel

FAQ zum Webinar: EuGH kippt Privacy Shield, und jetzt? Was jetzt noch erlaubt istprivacy_shield_suit
10. November 2020
5 Min. Lesedauer
Aktuelle EuGH-Urteile & DSGVO NewsWebinar FAQs

FAQ zum Webinar: EuGH kippt Privacy Shield, und jetzt? Was jetzt noch erlaubt ist

Fragen und Antworten aus unserem Webinar mit unserem Partner, one medialis GmbH, sowie Dr. Christian Velten (Jota Rechtsanwälte Schultze-Rhonhof)....

Weiterlesen
Kein generelles Recht auf Vergessenwerden: Google muss unliebsame Artikel nicht löschen
3. August 2020
3 Min. Lesedauer
Aktuelle EuGH-Urteile & DSGVO News

Kein generelles Recht auf Vergessenwerden: Google muss unliebsame Artikel nicht löschen

Kann ich Google dazu bewegen, Suchergebnisse zu löschen, nur weil mir die Berichterstattung über mich oder mein Unternehmen nicht...

Weiterlesen
Rekordverdächtige DSGVO-Strafe in Ungarn: 290.000 EUR wegen mangelnder Webseiten-Sicherheit
25. Juni 2020
3 Min. Lesedauer
Aktuelle EuGH-Urteile & DSGVO NewsDSGVO Strafen

Rekordverdächtige DSGVO-Strafe in Ungarn: 290.000 EUR wegen mangelnder Webseiten-Sicherheit

Keine Frage, ein Verstoß gegen Datenschutzgesetze kann teuer werden: Das musste auch das ungarische Telekommunikationsunternehmen Digi schmerzhaft erfahren, denn...

Weiterlesen

Next Steps

Webseite scannen

Webseite scannen

Prüfen Sie Ihre Webseite
Demo vereinbaren

Demo vereinbaren

Unverbindliche Anfrage starten
Jetzt loslegen

Jetzt loslegen

Über Preise informieren

Legal Update

Bleiben Sie immer up-to-date: Abonnieren Sie jetzt unseren Legal Update Newsletter und erfahren Sie als Erste von Trends rund ums Thema Datenschutz & Tracking.

Produkte

  • Website Consent Management
  • CMP for Publishers
  • Mobile App Consent
  • Automatische Datenschutzerklärung
  • Smart Data Protector
  • AMP Consent Management (closed beta)

Ressourcen

  • Whitepaper
  • Case Study
  • On-Demand Webinare
  • Live Webinare
  • Knowledge Hub
  • RFI Template
  • Videos
  • FAQ
  • Tech Dokumentation

Über uns

  • Wer sind wir
  • Karriere
  • Presse
  • Events
  • Kontakt

Unsere Mission

Wir helfen Unternehmen, gesetzliche Anforderungen in Einklang mit ihrer Marketingstrategie zu bringen.

Rechtliches

  • Impressum
  • Datenschutzerklärung
  • AGB

Adresse

Usercentrics GmbH
Sendlinger Straße 7
80331 München
Deutschland

© Copyright 2021 Usercentrics

Diese Website und alle von Usercentrics angebotenen Dienstleistungen sind nicht für Benutzer und Unternehmen außerhalb der Europäischen Union, Großbritanniens oder der Schweiz bestimmt.

TCF 2.0 Transition Guide: Was Publisher jetzt wissen müssen iab logo FAQ | Google Tag ManagerFAQ | Google Tag Manager FAQ zum Webinar CMP-Implementierung mit dem Google Tag Manager
Nach oben scrollen