HOME > Blog > Datenschutzbeauftragter > EuGH zerbricht Privacy Shield

EuGH zerbricht Privacy Shield

Posted on Veröffentlicht in Datenschutzbeauftragter
EuGH zerbricht Privacy Shield
EuGH zerbricht Privacy Shield

In einer viel beachteten Entscheidung erklärte der Europäische Gerichtshof die Angemessenheit des Schutzes durch den EU-US-Privacy Shield für ungültig. Begründet wird das Urteil, mit möglichen Zugriffen auf personenbezogen Daten von EU-Bürgern durch US-amerikanische Sicherheitsbehörden. Der amerikanische Gesetzgeber sind Erfordernisse der nationalen Sicherheit als vorrangig an und steht damit im Widerspruch zu den Grundrechten der EU-Bürger. Das Gericht ist jedoch der Auffassung, dass der Beschluss 2010/87 der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gültig ist. [1]

Absehbare Folgen des Urteils

Derzeit absehbare Folgen des Urteils sind, dass amerikanische Unternehmen wie Facebook, Google oder Microsoft bei ihren Produkten und Dienstleistungen ein deutlich höheres Datenschutzniveau als bislang anbieten werden müssen. Besondere Schwierigkeit dabei, Unternehmen aus Drittstaaten müssen zukünftig nachweisen und dokumentieren, dass sie die Zugriffe von nationalen Sicherheitsbehörden auf personenbezogene Daten wirksam beschränken.

Verantwortliche mit Sitz in der EU können Transfers in die USA nicht mehr mittels Privacy Shield rechtfertigen. Ein Umstand der besonders bei den häufig in Einsatz befindlichen Online-Diensten problematisch ist und ua auch Office365, Google Analytics, Zoom oder Dropbox betrifft. [2]

Aufsichtsbehörden sind nach Meinung von Experten verpflichtet, den Transfer in einen Drittstaat zu untersagen, wenn die Anforderungen zum Schutz der Betroffenen nicht eingehalten werden. Wie aktiv und wie konsequent die Aufsichtsbehörden der Verpflichtung nachkommen werden, wird zu sehen sein.

Handlungsbedarf für Verantwortliche

Akuter Handlungsbedarf besteht vor allem für Verantwortliche, die personenbezogene Daten verarbeiten und diese auf Basis des Privacy Shields in die Vereinigten Staaten übermitteln. Pikanterweise wird dies bei Einsatz von Cloud-Diensten regelmäßig der Fall sein.

Durch den Wegfall des Privacy Shields zur ordnungsgemäßen Übertragung von personenbezogenen Daten in die Vereinigten Staaten sind alternative, rechtskonforme Garantien umzusetzen, um dem Datenschutzniveau der Europäischen Union zu entsprechen.

Das Gericht zeigt im Urteil eine derartige Alternative auf und verweist auf das weiterhin gültige Instrument der Standardvertragsklauseln.

Die Stunde der Standardvertragsklauseln

Standardvertragsklauseln wurden von der EU-Kommission vorgeschlagen, um für Übermittlungen in Drittländer einheitliche Vorgaben zu schaffen. [3] Bei deren rechtskonformer Vereinbarung zwischen Verantwortlichen bzw Auftragsverarbeitern wird ein angemessenes Datenschutzniveau angenommen.

Von US-Unternehmen wird bei der Vereinbarung der Gültigkeit der Standvertragsklauseln eine ausdrückliche Bestätigung zu verlangen sein, dass sie übermittelte, personenbezogene Daten nicht beliebig weiterverarbeiten und nicht an lokale Sicherheitsbehörden herausgeben. Ein absehbares Dilemma für die Unternehmen, die letztendlich der nationalen Gesetzgebung unterliegen. Aktuell ist nicht absehbar, ob der amerikanische Gesetzgeber in irgendeiner Form bereit ist, den Zugriff seiner Sicherheitsbehörden auf personenbezogene Daten auch nur im geringsten Mass einzuschränken. Sollte dies nicht der Fall sein, dann wird wohl auch nach zu denken, ob und wie man gegebenenfasll zu Nicht-US-Unternehmen wechseln sollte.

Wechselseitige Nachweispflichten bei Datentransfers in Drittstaaten

Klar ist, dass EU-Unternehmen als Verantwortliche zukünftig verpflichtet sein werden, vor dem Datentransfer zu prüfen und den Nachweis zu dokumentieren, ob das jeweilige Partnerunternehmen alle Vorgaben einhalten kann.

Der Auftragsverarbeiter oder gemeinsame Verantwortliche ist zudem verpflichtet, dem EU-Unternehmen mitzuteilen, wenn das hohe Datenschutzniveau, z.B. wegen Zugriffs lokaler Sicherheitsbehörden nicht eingehalten werden kann. Diese Vorgaben folgen aus dem Grundsatz der Rechenschaftspflicht („Accountability“, Art. 5 Abs. 2, Art. 24 DSGVO), so dass es für alle Unternehmen bei internationalen Datentransfers erforderlich sein wird, die Dokumentationen vorzunehmen.

Anmerkungen

  • Es ist davon auszugehen, dass EU-Kommission und das US FTC einen neuen oder verbesserten Vertrag aushandeln werden. Bis dahin bleibt abzuwarten, wie die Aufsichtsbehörden mit dem Urteil umgehen werden.
  • In der betrieblichen Praxis sollten Übermittlungen in die USA aber nicht mehr auf das Privacy Shield gestützt werden, sondern durch die Nutzung der Standardvertragsklauseln ersetzt werden.
  • Gefordert sind vorerst vor allem US-Unternehmen. Sie müssen zukünftig vermehrt Alternativen finden, um ein angemessenes Datenschutzniveau bieten zu können.
  • Für betroffene Unternehmen erscheint es empfehlenswert zu sein, sich vorerst einen Überblick zu verschaffen, ob auf Basis des Privacy Shields personenbezogene Daten am US-Unternehmen übertragen werden;
  • In der Folge ist darauf zu drängen, dass die nunmehr ungültige Rechtsgrundlage zur Übermittlung der personenbezogenen Daten durch entsprechende Standardvertragsklauseln ersetzt werden;

Quellen

[1] Volltext des Urteils (en): https://noyb.eu/files/CJEU/judgment.pdf

[2] Eine Liste von Unternehmen, die Mitgliedern von Privacy Shield sind: https://www.privacyshield.gov/list

[3] Beschluss der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern: https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=celex%3A32010D0087