Haben Sie Fragen oder Interesse? +49 (511) 165 80 40 90
de

von

EuGH erklärt Privacy-Shield Abkommen für unwirksam

mit Urteil vom 16. Juli 2020 (Rechtssache C-311/18) hat der Europäische Gerichtshof das "Privacy Shield"-Abkommen zwischen der Europäischen Union und den USA für unwirksam erklärt. Von diesem Urteil können somit alle Verarbeitungsvorgänge, die eine Übertragung personenbezogener Daten in die USA erforderlich machen, betroffen sein (z.B. die Nutzung von Cloud-Diensten). Verstößt eine Drittlandsübermittlung gegen die DSGVO, können Bußgelder verhängt werden.

Worum geht es?

Die Übermittlung personenbezogener Daten in Drittstaaten unterliegen den zusätzlichen Voraussetzungen der Art. 44 ff. DSGVO. Dadurch soll gewährleistet werden, dass auch Daten, die im Nicht-EU-Ländern verarbeitet werden, einem angemessenen Schutzniveau unterliegen. Als mögliche Garantie für ein angemessenes Schutzniveau kommen verschiedene Instrumente in Betracht, z.B. ein Angemessenheitsbeschluss der EU, verbindliche interne Datenschutzvorschriften, von der Kommission oder einer Aufsichtsbehörde geprüfte Standard-Datenschutzklauseln, das Vorliegen eine Einwilligung der betroffenen Person, oder die Erforderlichkeit der Verarbeitung zur Erfüllung eines Vertrages. Das Privacy Shield Abkommen enthielt einen Angemessenheitsbeschluss der EU für Datenverarbeitungen in den USA, sodass die Übermittlung an unter dem Privacy Shield zertifizierte Unternehmen legitimiert war (vgl. https://www.privacyshield.gov/list). Wegen Bedenken an einem hinreichenden Schutz, insbesondere mit Blick auf die Überwachungsgesetze in den USA, wurde der Angemessenheitsbeschluss für unwirksam erklärt. Eine Übermittlung auf dieser Basis ist daher nicht mehr rechtmäßig. Davon unberührt bleiben jedoch die anderen Ausnahmetatbestände der Art. 44 ff. DSGVO.

Was kann jetzt passieren?

Wenn eine Übermittlung nicht mehr auf das Privacy Shield oder einen anderen Ausnahmetatbestand gestützt werden kann, ist die Übermittlung zu beenden. Das Urteil weist insbesondere darauf hin, dass Aufsichtsbehörden angehalten sind, derartige Verarbeitungsvorgänge zu unterbinden (Rn. 135, 146). Eine unrechtmäßige Übermittlung kann zudem einen Anspruch auf Schadenersatz begründen (Rn. 143).

Wie geht es jetzt weiter?

Für Dienste, die eine Übermittlung personenbezogener Daten in die USA erfordern, muss ein anderer Ausnahmetatbestand gefunden werden. Denkbar ist beispielsweise die Einbeziehung von Standard-Vertragsklauseln, wie etwa von Microsoft forciert (https://docs.microsoft.com/de-de/microsoft-365/compliance/offering-eu-model-clauses?view=o365-worldwide). Der Europäische Gerichtshof hält die Standard-Vertragsklauseln der EU (2010/87/EU) grundsätzlich für wirksam, verweist jedoch auf die Möglichkeit der Verantwortlichen und Aufsichtsbehörden, im Zweifel den Export auszusetzen oder zu untersagen, sowie die Klauseln zu erweitern.

Zweifel an einem angemessenen Schutzniveau können durchaus gesehen werden: Wenn das Privacy Shield aufgrund von Bedenken gegenüber der amerikanischen Überwachungsgesetze als nicht ausreichend empfunden wird, dürfte eine vertragliche Vereinbarung im Ergebnis kaum effizienter sein.
Die Standard-Vertragsklauseln dürften vor diesem Hintergrund keine nachhaltige Rechtssicherheit bieten. Amerikanische Diensteanbieter werden somit deutlich umdenken müssen. Rechtssicherheit kann derzeit aber nur erreicht werden, wenn Diensteanbieter genutzt werden, die eine ausschließliche Verarbeitung innerhalb der EU garantieren können.

Was müssen Sie jetzt beachten?

  • Zunächst sollten Sie kurzfristig prüfen, ob bei Ihnen Dienste von Anbietern aus den USA für die Verarbeitung personenbezogener Daten verwendet werden.
  • Ist dies der Fall, sollten Sie prüfen, ob das Privacy Shield als Garantie für ein angemessenes Datenschutzniveau genutzt wurde.
  • Falls ja sollten Sie entweder die Nutzung des Dienstes aussetzen, oder falls das nicht möglich ist, mit dem Anbieter in Kontakt treten und auf den Abschluss von Standard-Vertragsklauseln pochen.
  • Mittelfristig sollten Sie zudem prüfen, ob z.B. durch einen Wechsel des Diensteanbieters eine Übermittlung personenbezogener Daten in die USA umgangen werden kann.

Zurück

lexICT...

... ist eine Datenschutz-Beratungsfirma mit Sitz in Hannover und Wien, die großen Wert auf eine individuelle Beratung und die Entwicklungen pragmatischer Lösungen setzt. Unser Team besteht ausschließlich aus Jurist*innen, die sich im Datenschutz spezialisiert haben und über den gewissen Nerd-Faktor verfügen, um die Nische zwischen Recht und Technik optimal ausfüllen zu können.

Kontaktieren Sie uns!

lexICT UG (haftungsbeschränkt)
Ostfeldstraße 49
30559 Hannover

+49 (511) 165 80 40 90

+49 (511) 165 80 40 99

Copyright 2022. All Rights Reserved.
Einstellungen gespeichert
Datenschutzeinstellungen

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

You are using an outdated browser. The website may not be displayed correctly. Close