EuGH kippt EU-US Datenschutzvereinbarung Privacy Shield

Am 16.7.2020 hat der Europäische Gerichtshof das Datenschutzabkommen Privacy Shield für ungültig erklärt (EuGH, 16.7.2020 – C-311/18)
Zunächst möchten wir erläutern, worum es sich bei Privacy Shield handelt.

Die personenbezogenen Daten von Bürgern der Europäischen Union sind durch die Bestimmungen der DS-GVO geschützt. Sobald diese Daten allerdings den europäischen Raum verlassen, ist dieser Schutz nicht mehr gewährleistet.

Gemäß der DS-GVO dürfen personenbezogene Daten nur dann in ein Drittland (ein Land, in dem die Bestimmungen der DS-GVO nicht gelten) übermittelt werden, wenn dort ein angemessenes Schutzniveau sichergestellt ist (Art. 44). Der Datenschutz in den USA gilt allerdings nicht als angemessen. Daher dürften theoretisch keine Datenübermittlungen dorthin getätigt werden.

Allerdings sieht Art. 45 DS-GVO vor, dass Übermittlungen in ein Drittland dann zulässig sind, wenn durch einen Angemessenheitsbeschluss der Europäischen Kommission festgestellt worden ist, dass das Datenschutzniveau ausreichend ist. Der EU-US Privacy Shield („Datenschutzschild“) ist eine Absprache zwischen der US-amerikanischen Regierung und der EU-Kommission, welche die Anwendung dieser Regelung zum Ziel hat.

US-amerikanische Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten wollen, müssen sich in eine Liste eintragen, die vom US-Handelsministerium geführt wird. Die Eintragung in die Liste stellt eine Selbstzertifizierung des Unternehmens dar, durch welche es sich verpflichtet, die Prinzipien des Data Privacy Shield zu achten.

Allerdings sieht sich der Privacy Shield vielfacher Kritik ausgesetzt. Insbesondere der Zugriff durch US-Behörden auf gespeicherte Daten von EU-Bürgern ist Gegenstand des Anstoßes. Durch die US-amerikanische Gesetzgebung (etwa den USA PATRIOT Act und CLOUD Act – Clarifying Lawful Overseas Use of Data Act) haben dortige Behörden weitreichende Befugnisse in diesem Bereich. Dies ist auch der Grund, warum nun der EuGH Privacy Shield für ungültig erklärt hat, ihm gehen die Überwachungsbefugnisse der amerikanischen Geheimdienste und Sicherheitsbehörden zu weit.

An dieser Stelle fragen Sie sich vielleicht, warum Ihr Unternehmen von dem Urteil betroffen sein sollte, wenn Sie doch keine Geschäftsbeziehungen in die USA unterhalten. Aber: Sie nutzen Microsoft-Produkte? Sie nutzen eventuell eine Cloud von Amazon? Ihr Unternehmen ist in sozialen Medien, wie z.B. Facebook präsent? Dann ist auch Ihr Unternehmen betroffen, da die Daten auf amerikanischen Servern gespeichert und verarbeitet werden.

Was ist also zu tun?

• Bei US-Anbietern auf EU-Server ausweichen (sofern angeboten).
• Keine US-Dienstleister einsetzen – das ist die sicherste Variante.
• Einsatz von Standardvertragsklauseln, die nach dem EuGH-Urteil weiterhin ein wirksames Instrument bleiben. Allerdings können sich Betroffene, z.B. Kunden oder Mitarbeiter/innen, im Zweifelsfall an die zuständige lokale Datenschutzbehörde wenden, die unter Umständen US-Datentransfers des betreffenden Unternehmens untersagen könnte. Ob dies der Fall ist, hängt dann von den Umständen des Einzelfalls ab. Geht es etwa um Datenübermittlungen an US-Telekommunikationsunternehmen oder Internetdienstanbieter, so sind die Zugriffsbefugnisse der US-Nachrichtendienste besonders weitreichend und eine Untersagung damit wahrscheinlicher. Die Standardvertragsklauseln sind hier zu finden:

Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (sog. Set I) (de/en) sowie die
sog. Alternative Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer (sog. Set II) (de/en).
Für die Übermittlung personenbezogener Daten an Empfänger, die die Daten zum Zwecke der Auftragsdatenverarbeitung erhalten, gelten die
- Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern (de / en).
Wenn möglich Einwilligungen der Nutzer einholen – wobei die Nutzer transparent auf den Einsatz von US-Dienstleistern und die Risiken hingewiesen werden müssen (man kann auch an eine Einwilligung in den Cookie-Hinweisen denken).
Verträge und Datenschutzerklärungen anpassen – entfernen Sie die Hinweise auf Privacy-Shield.

Die derzeitige politische Lage spricht gegen eine schnelle Klärung der Rechtsunsicherheit. Zumindest vor den US-Wahlen im November ist nicht zu erwarten, dass EU-Bürgern ein höherer Datenschutz zugestanden wird.