Seite wählen
Privacy Shield ungültig (EuGH, Urteil in der Rechtssache C-311/18, 16. Juli 2020)!

Privacy Shield ungültig (EuGH, Urteil in der Rechtssache C-311/18, 16. Juli 2020)!

Datentransfer in einem Drittland

Mit Urteil vom 16. Juli 2020 hat der EuGH in der Rechtssache (Pressemitteilung und Urteil) Data Protection Commissioner / Maximillian Schrems und Facebook Ireland das Privacy Shield gekippt. Der EuGH hat den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt. Das ist mit Verlaub, eine Überraschung und hatte sich in der Form nicht abgezeichnet. Worum geht es? Kurz gesagt: Es geht um Datentransfer nach USA. Die USA sind im Hinblick auf den Datenschutz ein unsicheres Drittland. Damit geltend andere Regeln, als bei dem Transfer von Daten zwischen EU-Länder.

Privacy Shield

Die Rechtslage war bislang so, dass US-Unternehmen sich einem Privacy-Shield zertifizieren konnten. Haben sie die notwendigen Voraussetzungen dafür geschaffen, durften sie –vereinfacht gesagt- Daten von EU in die USA übermitteln. Der EuGH musste nun prüfen, ob der Beschluss 2016/1250 (Privacy-Shield) mit der Datenschutzgrundverordnung vereinbar ist. Ergebnis: Das hat der EuGH verneint. Der Grund liegt unter anderem darin, dass amerikanische Behörden auf Unternehmensdaten relativ einfach zugreifen können. Verkürzt dargestellt sagt der EuGH: Wenn ein deutscher Bürger einen Account bei Facebook hat, könnte die US-Administration darauf zugreifen.

Genauer stellt der EuGH laut Pressemitteilung fest: „Er (EuGH)kommt zu dem Ergebnis, dass die von der Kommission im Privacy Shield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.“

Standardvertragsklauseln

Die Entscheidung ist sehr neu und muss noch sorgfältig geprüft werden. Insbesondere hat der EuGH sich aber zu den Standardvertragsklauseln geäußert. Diese sind ein Weg, um Daten ins Drittland datenschutzkonform zu übermitteln. Hierzu werden wir einen gesonderten Beitrag verfassen.

Wen betrifft es?

Muss ich als Facebook-Nutzer etwas befürchten? Die Entscheidung betrifft in erster Linie Unternehmen, die Daten in die USA übermitteln und mit Unternehmen zusammenarbeiten, die im Privacy Shield Abkommen gelistet sind. Für diese wird es wichtig schnell auf Standardvertragsklauseln zu wechseln. Aber auch da existieren praktische Probleme. Es gibt auch weiter Möglichkeiten des Transfers, etwa über Corporate Binding Rules oder klassisch über Einwilligungen. Es kommt je nach Betrieb und Größe darauf an, was zweckmäßig ist. Insofern muss die Entscheidung des EuGH nochmals eingehend geprüft werden.

Was passiert bei Missachtung des Urteils?

Ein Urteil bedeutet erstmal, viele Presseberichte und Arbeit für Juristen. In praktischer Hinsicht werden sich die Datenschutzbehörden erstmals anschauen müssen, wo ein Datentransfer in die USA durchgeführt wird. Das wird rein praktisch eine gewisse Zeit in Anspruch nehmen. Die Datenschutzbehörden haben nach unserer Erfahrung genug zu erledigen. Dann kann es zu einem Bußgeldverfahren kommen, sofern kein datenschutzkonformer Datentransfer stattfindet. Nun kommt die Entscheidung des EuGH ins Spiel. Wann etwas datenschutzkonform ist, richtet sich nach der Datenschutzgrundverordnung und diese wird auch durch den EuGH ausgelegt. Insofern sollten Unternehmen prüfen, ob sie Daten in die USA übermitteln und sich fragen, auf welcher Rechtsgrundlage sie das bislang machen. Wir helfen Ihnen gerne, falls Sie hierbei Unterstützung benötigen.

Kanzlei für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz in Frankfurt am Main und bundesweit

Beitragsbild: Jasper Benning

Brexit, Datenschutz und DS-GVO! Was müssen Unternehmer beachten?

Brexit, Datenschutz und DS-GVO! Was müssen Unternehmer beachten?

Der ungeordnete Brexit steht vor der Tür. Was hat das Auswirkungen auf das Datenschutzrecht und Unternehmen, die mit Großbritannien handeln?

DSGVO und Großbritannien

Die Datenschutzgrundverordnung (DS-GVO) galt und gilt noch in Großbritannien. Das bedeutet erstmals, dass dort ein angemessenes Datenschutzniveau, zumindest dem Papier nach, vorgefunden werden sollte. Das bedeutet leider nicht, dass der Datenverkehr mit Deutschland deshalb ohne weiteres zulässig ist. Betroffen sind Unternehmen, die eine Niederlassung in Großbritannien haben oder Kunden in Großbritannien haben. Gleiches gilt für Unternehmer, die in UK Vertragspartner haben.

Großbritannien als unsicheres Drittland

Man mag es kaum glauben, aber im Falle eines unkontrollierten Brexit, wird Großbritannien aus datenschutzrechtlicher Sicht ein sogenanntes „unsicheres Drittland“. Das bedeutet, dass die Regeln der DS-GVO im Hinblick auf solche Länder anzuwenden sind.

Was heißt das konkret für Datenverarbeitung nach UK?

Es wird bei unsicheren Drittländer zweistufig vorgegangen. Zunächst ist zu prüfen, ob eine Rechtsgrundlage für die Datenverarbeitung vorliegt. Danach ist zu prüfen, ob eine Rechtsgrundlage für die Übermittlung vorliegt. Erst dann dürfen Daten international verarbeitet werden.

Was muss ich als EU-Unternehmer machen?

Datentransfer in Drittländern kann über eine Vielzahl von Möglichkeiten bewerkstelligt werden. Einige Möglichkeiten dabei sind mit sehr viel Aufwand verbunden, wohin andere mit weniger Aufwand. Dieser Beitrag wird aufgrund des Umfangs nicht sämtliche Möglichkeiten beleuchten, sondern nur den –aus meiner Sicht- praktischsten Weg.

Standardvertragsklauseln mit UK

Der einfachste Weg wird sein, mit den sogenannten EU- Standardvertragsklauseln zu arbeiten. Diese sind von Europäischen Union vorgegeben. Es wird ein Vertrag zwischen dem Unternehmen in Großbritannien und hiesigem Unternehmer geschlossen. In diesen Verträgen verpflichtet sich der Unternehmer aus Deutschland zu überprüfen, ob der englische Vertragspartner das Datenschutzrecht einhält. Zweckmäßigerweise sollte von dem englischen Partner verlangt werden, dass er seine Datenschutzkonformität vor Vertragsschluss nachweist.

Änderung der Datenschutzerklärung und Datenschutzhinweise

Außerdem sind die Datenschutzerklärung und die Datenschutzhinweise anzupassen. In dem Moment, wo der Brexit kommt, muss der Betroffene informiert werden, dass seine Daten in ein unsicheres Drittland übertragen werden.

Lohnt es sich abzuwarten?

In Großbritannien hat die Datenschutzgrundverordnung (DS-GVO) bislang Geltung. Das bedeute, dass eine Vielzahl von Unternehmen sich bereits „fit“ für die DS-GVO gemacht haben. Es ist aber nicht abzusehen, ob sie nach dem Brexit weiterhin gelten wird oder ein neues Datenschutzrecht geschaffen wird. Sehr wahrscheinlich ist, dass das Datenschutzniveau in UK, auch wenn es verändert werden sollte, mit dem europäischen vergleichbar sein wird. Sehr wahrscheinlich wird die EU einen Angemessenheitsbeschluss erlassen. Dann dürfte der Datentransfer zwischen EU und UK zulässig sein. Es liegt wieder einmal in der Hand der Politik. Bis also ein solcher Beschluss erlassen ist, sollten Unternehmer auf Nummer sicher gehen und entsprechend ihren Datenschutz anpassen.

Das Risiko besteht letztlich darin ein Bußgeld zu erhalten. Das sollte unter allen Umständen vermieden werden. Lesenswert ist zudem die Bekanntmachung des Bundesdatenschutzbeauftragten zu diesem Thema mit weiterführenden Hinweisen (https://www.bfdi.bund.de/DE/Europa_International/Europa/Ueberblick/EU_NoDealBrexit.html)

Anwalt Datenschutz

Aus diesen Gründen aber auch aus eigenem Interesse kann nur empfohlen werden, sich mit Datenschutzrecht auseinander zu setzen und Datenschutzkonformität herzustellen. Als Anwalt und zertifizierter Datenschutzbeauftragter bei TÜV-Süd auf dem Gebiet der Datenschutzrechts (DS-GVO) in Frankfurt am Main berate ich Sie gerne.

Sie können mich unter der Tel. 069 405 64 282 oder per E-Mail unter info@rechtsanwalt-dsgvo.de erreichen

Über Anruf oder Ihre Nachricht freue ich mich.

Ihr Anwalt für DSGVO in Frankfurt