Aktuell: EuGH erklärt Privacy-Shield für ungültig
29.07.2020
Aktuell: Privacy-Shield durch EuGH für ungültig erklärt
Der Europäische Gerichtshof hat am 16.07.20 mit dem Urteil zur Rechtssache C-311/18 die Ungültigkeit des Privacy-Shield-Abkommens zwischen der EU und den USA festgestellt.
Welche Auswirkungen ergeben sich für Unternehmen daraus? Welche Maßnahmen sollten Sie nun ergreifen? Das haben wir für Sie zusammengefasst.
Hintergrund: Übermittlung in ein Drittland
Die Datenschutz-Grundverordnung legt fest, dass Datenübermittlungen in ein Drittland nur erfolgen dürfen, wenn das betreffende Land ein angemessenes Schutzniveau gewährleisten kann. Die Prüfung eines sogenannten Angemessenheitsbeschlusses erfolgt durch die Kommission. Dies gewährleistet eine rechtssichere Datenübermittlung gem. Art. 45 DS-GVO. Weist ein Drittland keinen derartigen Beschluss auf, so muss das Land geeignete Garantien vorweisen. Diese können sich etwa aus den durch die Kommission erarbeiteten Standarddatenschutzklauseln in Verbindung mit der wirksamen Umsetzung der Rechten von Betroffenen ergeben. Dann wird eine Übermittlung gem. Art. 46 DS-GVO zulässig. Weitere Regelungen für den Fall, dass keine Garantien oder kein Angemessenheitsbeschluss vorliegt finden sich in Art. 49 DS-GVO.
Hintergrund: Urteil zur Ungültigkeit des Privacy-Shield-Abkommens
Der Datenschutzbeauftragte Maximilian Schrems aus Österreich legte bereits vor mehreren Jahren bei der irischen Aufsichtsbehörde Beschwerde gegen die Verarbeitung seiner Daten durch Facebook ein. Die personenbezogenen Daten aller in der EU wohnhaften Nutzer werden ganz oder teilweise durch Facebook Ireland an Server der Facebook Inc. in den USA übermittelt oder dort verarbeitet. Er merkte an, dass die USA seiner Auffassung nach keinen ausreichenden Schutz vor dem Zugriff der Behörden aufweisen.
Seine damalige Beschwerde wurde zunächst mit dem Vermerk auf die sogenannte „Safe-Harbour-Entscheidung“ abgelehnt, die als „Vorgänger“ des Privacy-Shield-Abkommens gilt. Am 6.10.2015 erklärte dann der EuGH die Entscheidung des irischen Gerichts für ungültig und kippte damit damals „Safe-Habour“.
Nach weiteren Wendungen erließ dann die Europäische Kommission 2016 den Beschluss, den wir heute unter dem Namen EU-US-Datenschutzschild „Privacy Shield“ kennen. Somit konnte Facebook weiterhin auf Grundlage der Standard-Vertragsklauseln und des Privacy-Shield-Abkommens Daten in die USA transferieren. Herr Schrems ursprüngliche Intention, diese Übermittlung der Daten zu stoppen, war somit immer noch nicht umgesetzt, sodass er nun in die weitere Offensive ging und erneut klagte.
Entscheidung des EuGH
„Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig.“
Der EuGH erläutert weiter, dass sich erhebliche Einschränkungen des Schutzes personenbezogener Daten ergeben. Dies ist insbesondere auf den Zugriff und der durch US-Recht gewährten Verwendung der Daten durch die US-Behörden zurückzuführen. Es sind Vorschriften zur Durchführung der Überwachungsprogramme vorgesehen. Jedoch hätten Betroffene aber keinerlei Möglichkeiten ihre verliehenen Rechte gegenüber den amerikanischen Behörden gerichtlich durchzusetzen.
Handlungsempfehlungen für Unternehmen
Überprüfen Sie, welche Auftragsverarbeiter oder gemeinsam verantwortlichen Unternehmen Daten Ihres Unternehmens in die USA übermitteln.
Überprüfen Sie, ob es sich hierbei um personenbezogene Daten von Nutzern oder Kunden handelt.
Prüfen Sie, welche der Auftragsverarbeiter oder gemeinsam verantwortlichen Unternehmen ihre Verarbeitung auf das Privacy-Shield-Abkommen gestützt haben (vgl. Datenschutzerklärungen der Unternehmen).
Prüfen Sie die Verträge zur Auftragsverarbeitung oder die Vereinbarungen über die gemeinsame Verantwortlichkeit auf EU-Standard-Vertragsklauseln oder andere beschriebene Garantien oder Einwilligungen oder weitere zugelassene Möglichkeiten (vgl. Art. 44-49 DS-GVO).
Kontaktieren Sie bei fehlenden Informationen zu den oben genannten Themen den Auftragsverarbeiter oder das gemeinsam verantwortliche Unternehmen.
Passen Sie Ihre eigenen Datenschutzerklärungen hinsichtlich des Urteils an.
Wir können helfen – mit unserer Expertise und WebCare!
Mit unserer Lösung, der WebCare, werden alle Texte Ihrer Datenschutzerklärung an die neuen Gegebenheiten des Urteils angepasst. Sämtliche Anforderungen der Urteile (Ungültigkeit des Privacy-Shields, BGH Urteil zu Cookies auf Websites) werden erfüllt, da die WebCare bereits auf die EU-ePrivacy Verordnung ausgelegt ist. Zusätzlich können der Impressumsgenerator sowie die automatisierte Datenschutzerklärung genutzt werden. Alle weiteren Infos finden Sie hier!
Sollten Sie zu diesem oder zu anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung.
Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, Ihren Verein oder Ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes.
Nehmen Sie gerne jederzeit Kontakt zu uns auf.