Kein Datentransfer mehr in die USA? EuGH kippt EU-US-Datenschutzabkommen „Privacy Shield”. Was Unternehmen jetzt wissen müssen

PrintMailRate-it

veröffentlicht am 20. August 2020 | von Bastian Schönnenbeck

 

Das lang erwartete Urteil des Europäischen Gerichtshof (EuGH) wurde bereits im Juli gesprochen: Der transatlantische Datentransfer von personenbezogenen Daten zwischen Europa und den USA wurde für nichtig erklärt.

 

Das unter dem Namen „Privacy Shield” oder „EU-US-Datenschutzschild” seit 2015 bestehende Abkommen, bildete bisher die Rechtsgrundlage für den grenzübergreifenden Datenaustausch. Zwar erfreuen sich US-Dienste wie Google-Analytics, Zoom, YouTube etc. zunehmender Beliebtheit und kommen auch in Organisationen und Unternehmen regelmäßiger zum Einsatz. Aber alle miteinander haben ein Problem: Sie speichern zum Großteil Daten auf amerikanischen Servern. Dies war bislang – trotzt DSGVO – unproblematisch, solange sich die Diensteanbieter (wie z.B. Google oder Facebook) bereit erklärten, den Privacy Shield zu unterzeichnen. 

 

Warum erklärte der EuGH den Privacy Shield dann für ungültig?

Den höchsten Richtern Europas gehen die Befugnisse der amerikanischen (Sicherheits-)Behörden entschlossen zu weit. Der amerikanische Foreign Surveillance Act (FISA) ermögliche einen Zugriff zu willkürlichen personenbezogenen Daten europäischer Bürger durch die Geheimdienste und Sicherheitsbehörden (wie FBI oder NSA) auch ohne richterlichen Beschluss. Damit ist ein Schutzniveau nicht mehr zu gewährleisten.

 

Was sind die rechtlichen Folgen?

Transfers von Daten in Drittländer unterliegen den Anforderungen des Kapitels V der Datenschutz-Grundverordnung, wonach personenbezogene Daten nur dann in Drittländer übermittelt werden dürfen, wenn ein Angemessenheitsbeschluss der Kommission (Art. 45 DS-GVO) oder andere geeignete Garantien (Art. 46 DS-GVO) bzw. sog. interne Verhaltensregeln (Art. 47 DS-GVO) einen rechtskonformen Umgang mit diesen Daten auch im Drittland sicherstellen. Der EU-US Privacy Shield unterlag einem Angemessenheitsbeschluss, welcher nun – seit dem Urteil – ungültig ist. Will heißen: Alle Datenübermittlungen auf Grundlage des EU-US-Privacy Shields müssen nunmehr auf eine andere Rechtsgrundlage gestellt werden. Dabei kann auf die durch den EuGH zunächst bestätigten Standardvertragsklauseln zurückgegriffen werden (Informationen dazu finden Sie hier). 

 

Wer ist nun betroffen?

Betroffen sind grundsätzlich alle Datenübertragungen auf amerikanische Server. Sowie alle Unternehmen, die Datentransfers in die USA vornehmen. In der Regel erfolgt dies durch Dienstleister, die ihre technische Infrastruktur oder Teile davon in den USA betreiben. Hierzu gehören vor allem Microsoft, Amazon oder kleinere Dienste (zum Beispiel zum Newsletter-Versand) wie Mailchimp. Andere Fälle betreffen Konzerne, die Tochtergesellschaften oder andere Unternehmensteile in den USA unterhalten und aufgrund dessen Daten in die USA übermitteln. 


Was sollten Unternehmen jetzt tun?

Unternehmer sollten daher in einem ersten Schritt prüfen, welche digitalen Dienste von Anbietern außerhalb der EU/dem EWR im Betrieb genutzt und in welchen Fällen personenbezogene Daten an diese Unternehmen übermittelt werden. Kritisch sind vor allem Anbieter, die bislang ausschließlich auf das Privacy-Shield gesetzt haben. Im Anschluss sollten sich Betroffene erkundigen, ob ihr Anbieter eine Regelung für Kunden aus der EU treffen wird, etwa über eine EU-Standardvertragsklausel. Zudem lohnt sich ein Blick in die eigene Datenschutzerklärung: Wer hier bei der Datenübertragung an einen außereuropäischen Anbieter lediglich auf das Privacy-Shield-Abkommen hinweist, sollte die Formulierung unbedingt anpassen. In einigen Fällen kann auch der Umstieg auf einen europäischen Anbieter eine Lösung sein.

 

Fazit

Das EuGH-Urteil hat weitreichenden Folgen für alle Unternehmen, die einen Datentransfer in die USA vornehmen oder mit einem Dienstleister zusammenarbeiten, der seine Daten in den USA verarbeitet. Um Sanktionen zu vermeiden, sollten Unternehmen schnellstmöglich die bestehenden Dienstleister und Verträge prüfen und sich auf eine Umstellung zu Standardvertragsklauseln vorbereiten.

 

Rödl & Partner unterstützt Sie bei diesen und weiteren Tätigkeiten rund um den Datenschutz.

 

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Banner Digital GRC Kompass
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu