Rufen Sie uns an!
09181 2705770

Datenschutzverletzung
0159 01076397
Fragen und Antworten zum Datenschutz, Informationssicherheit
  1. Startseite
  2. FAQ

Entscheidung zur Datenübermittlung des EuGH in die USA - Privacy Shield - Urteil vom 16.07.2020

 

1 Entscheidung zur Datenübermittlung des Gerichtshofes der Europäischen Union (EuGH) in die USA

Der Gerichtshof der Europäischen Union(EuGH) stellt fest, dass in diesem Privacy-Shield Beschluss, ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird. Dies ermöglicht Eingriffe in die Grundrechte der Personen, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im Privacy-Shield-Beschluss 2016/1250 bewerteten: „Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht in der Gestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind“ Auszug aus der Pressemitteilung des EuGH Nr. 91/20 vom 16.7.2020 – Link zum Urteil

Zu beachten ist:

Der Gerichtshof der Europäischen Union (EuGH) urteilte auch, dass die EU-Standardvertragsklauseln weiterhin als gültig anzusehen sind. Der Gerichtshof der Europäischen Union (EuGH) betonte, dass die betroffenen europäischen Unternehmen, die personenbezogene Daten in einen Staat außerhalb Europas oder des Europäischen Wirtschaftsraum (Drittland) übermitteln und auch das Unternehmen im Drittland, im Einzelfall prüfen müssen, ob das erforderliche Schutzniveau bei dem empfangenden Unternehmen im Drittland eingehalten wird, oder die Rechtsordnung des Drittlandes dem entgegensteht. Sollte das nicht der Fall sein, muss das EU-Unternehmen die Datenübermittlung aussetzen. Die Aufsichtsbehörden für Datenschutz wären zudem verpflichtet, die Datenübermittlung zu verbieten.

Folge der Ungültigkeit des Privacy-Shields

Nachdem der Privacy Shield-Beschluss 2016/1250 – für ungültig erklärt wurde, ist eine Datenübermittlung in die USA ab sofort unzulässig, wenn man sich dabei allein auf das Privacy-Shield gestützt hat. Eine Übergangsfrist gibt es nicht. Es ist anzunehmen, dass sich nun die nationalen Aufsichtsbehörden für den Datenschutz zu dem Urteil äußern werden und ggf. Prüfungen bei den Unternehmen ankündigen werden. Dies wird vermutlich aber nicht sofort erfolgen.

2 Was müssen Unternehmen mit der Entscheidung des EuGH beachten?

Nachdem der Privacy Shield-Beschluss 2016/1250 – für ungültig erklärt wurde, ist eine Datenübermittlung in die USA ab sofort unzulässig, wenn man sich dabei allein auf das Privacy-Shield gestützt hat. Eine Übergangsfrist gibt es nicht. Es ist anzunehmen, dass sich nun die nationalen Aufsichtsbehörden für den Datenschutz zu dem Urteil äußern werden und ggf. Prüfungen bei den Unternehmen ankündigen werden. Dies wird vermutlich aber nicht sofort erfolgen.

Was beachtet werden sollte:

  • Prüfen, ob im Unternehmen personenbezogene Daten in die USA übermittelt werden; hierzu
  • Verzeichnis für Verarbeitungstätigkeiten prüfen, ob beim „Empfänger der Daten“ ein Dienstleister oder Lieferant zu finden ist, der den Sitz in einem nicht EU-Land hat. Ferner, ob eine „Übermittlung ins Drittland“ stattfindet.
  • Prüfen und identifizieren, ob Software, Webservices, Apps im Einsatz sind, welche die Daten auf Servern in den USA oder Drittland speichern und welche Vertragsklauseln bestehen (Beispiele hierfür wären Microsoft, Google, Facebook)
  • Wird die Übermittlung von Daten allein auf das Privacy-Shield-Abkommen gestützt, muss der Datentransfer gestoppt werden, da die Übermittlung nach dem Urteil des EuGH unzulässig ist. Hier müssen passende Standardschutz- / bzw. Standardvertragsklauseln abgeschlossen werden. Die Vertragsvorlagen verpflichten den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus (Standardschutzklauseln sind häufig mit Auftragsverarbeitungsverträgen verbunden). Allerdings erlauben sie Datentransfers nur, wenn das Datenschutzniveau tatsächlich gewahrt wird.
  • Mittelfristig sollte geprüft werden, ob bestimmte Datenverarbeitungsvorgänge zu Dienstleistern innerhalb der EU umgezogen werden könnten. In jedem Fall sollte aber geprüft werden, ob manche Dienste so konfiguriert werden können, dass die Datenverarbeitung durch das US-Unternehmen zumindest ausschließlich auf den Servern innerhalb der EU erfolgt