EuGH kippt Privacy Shield – Was jetzt zu tun ist

PrintMailRate-it

​zuletzt aktualisiert am 17. Juli 2020 | Lesedauer ca. 2 Minuten

 

Der EuGH hat das EU-US-Privacy Shield für unwirksam erklärt (C-311/18 – „Schrems II”). Das bedeutet, dass alle Datentransfers in die USA, die alleine auf diesem inter­nationalen Abkommen beruhen, mit sofortiger Wirkung ohne rechtliche Grundlage stattfinden. Aber auch Datentransfers, die auf sog. „Standardvertragsklauseln” be­ruhen, sind keineswegs ein rechtlich sicherer Weg. Um Sanktionen zu vermeiden, ist nun entschlossenes, zügiges und v.a. sachverständiges Handeln gefragt.

  

Wer ist betroffen?

Betroffen sind alle Unternehmen, die Datentransfers in die USA vornehmen. Das erfolgt zumeist bei der In­an­spruch­nahme von Dienstleistern, die ihre technische Infrastruktur oder Teile davon in den USA vorhalten. Hier­zu gehören Unternehmen wie Microsoft, Facebook, Google, Amazon ebenso wie mittelständische Dienste und Dienstleister. Andere Fälle betreffen Konzerne, die Tochtergesellschaften oder andere Unternehmensteile in den USA unterhalten und aufgrund dessen Daten in die USA übermitteln.

 

Zusammengefasst bedeutet das: Es dürfte so gut wie kein inländisches Unternehmen geben, das von dem Urteil nicht betroffen ist.
  

Rechtliche Herausforderungen

Transfers von Daten in Drittländer unterliegen den Anforderungen des Kapitels V der Datenschutz-Grund­ver­ordnung (DS-GVO). Demnach dürfen personenbezogene Daten nur dann in Drittländer übermittelt werden, wenn ein Angemessenheitsbeschluss der Kommission (Art. 45 DS-GVO) oder andere geeignete Garantien (Art. 46 DS-GVO) bzw. sog. interne Verhaltensregeln (Art. 47 DS-GVO) einen rechtskonformen Umgang mit diesen Daten auch im Drittland sicherstellen.

 

Ursprünglich hatte die Kommission auf Basis zwischenstaatlicher Vereinbarungen (Privacy Shield) einen An­ge­messenheitsbeschluss erlassen, der die Übermittlung personenbezogener Daten in die USA so lange er­möglichte, solange der Empfänger der Daten eine Zertifizierung nach den Bestimmungen des Abkommens unterhielt.

 

Nach der Entscheidung des EuGH ist diese Praxis hinfällig (Urteilsgründe sind hier abrufbar). Alle Daten­über­mittlungen auf Grundlage des EU-US-Privacy Shields müssen nunmehr auf eine andere Grundlage gestellt werden. Dabei kann (noch) auf die durch den EuGH zunächst bestätigten Standardvertragsklauseln (Übersicht des Hessischen BfDI) zurückgegriffen werden. Aber mittelfristig muss damit gerechnet werden, dass auch Standardvertragsklauseln keine geeignete Grundlage für Datentransfers in die USA sein werden.

 

Maßnahmen und Lösungen

Vor dem Hintergrund der EuGH-Entscheidung ist jedem Unternehmen zu raten

  • alle Verträge mit Dienstleistern erneut auf Datenübermittlungen in die USA zu überprüfen,
  • Datenübermittlungen in die USA möglichst zu unterbinden bzw. sich auf eine entsprechende Vertrags­umstellung vorzubereiten,
  • sicherzustellen, dass Datenübermittlungen in die USA ausschließlich auf Basis sog. Standard­­ver­trags­klauseln erfolgen, wie sie von der Kommission veröffentlicht wurden,
  • konzerninterne Datenübermittlungen auf Übermittlungen in die USA zu überprüfen und
  • auch sie ausschließlich auf Basis von Standardvertragsklauseln vorzunehmen.

 

Perspektivisch ist zu empfehlen, ein System zur rechtlichen Absicherung von Datenübermittlungen in Dritt­länder zu implementieren. Das kann z.B. in der Errichtung eines Konzernrahmenvertrages zur Auf­trags­datenverarbeitung oder in der Erstellung und Genehmigung interner Verhaltensregeln (sog. Binding Corporate Rules, kurz BCR) liegen.

 

Es ist zudem daran zu denken, dass das EuGH-Urteil in vielen Fällen dazu führen wird, dass Dienstleister die zuvor angebotenen Dienste nicht oder nicht mehr wie geschuldet erbringen können. Das kann zur Kündbarkeit selbst langfristiger Vereinbarungen führen. Dienstanbieter müssen das ebenfalls dringend prüfen, um die Kündbarkeit langfristiger Vereinbarungen zu vermeiden.

 

Fazit

Nicht nur für Unternehmen mit datengetriebenen Geschäftsmodellen stellt die Entscheidung des EuGH eine erhebliche Herausforderung dar. Nicht zu unterschätzen ist das rechtliche Risiko zugleich für Kunden dieser Unternehmen. Alle am internationalen Datenverkehr Beteiligten werden ihren Umgang mit personenbezogenen Daten auf den rechtlichen Prüfstand stellen müssen. Insbesondere die Zusammenarbeit mit US-ame­ri­ka­nischen IT-Dienstleistern sollte umgehend überprüft werden. Das gilt generell, aber ganz besonders dann, wenn sie bislang auf Basis des EU-US-Privacy Shield abgewickelt wurde.

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu