Aktuell: Privacy-Shield durch EuGH für ungültig erklärt

Der Europäische Gerichtshof hat am 16.07.20 mit dem Urteil zur Rechtssache C-311/18 die Ungültigkeit des Privacy-Shield-Abkommens zwischen der Europäischen Union und den USA festgestellt. Welche Auswirkungen sich für Unternehmen wohl daraus ergeben und welche Maßnahmen Sie nun ergreifen sollten haben wir für Sie zusammengefasst.

Hintergrund: Übermittlung in ein Drittland

Die Datenschutz-Grundverordnung legt fest, dass Datenübermittlungen in ein Drittland nur erfolgen dürfen, wenn das betreffende Land ein angemessenes Schutzniveau gewährleisten kann. Die Prüfung eines sogenannten Angemessenheitsbeschlusses erfolgt durch die Kommission und gewährleistet eine rechtssichere Datenübermittlung gem. Art. 45 DS-GVO. Weißt ein Drittland keinen derartigen Beschluss auf, so muss das Land geeignete Garantien vorweisen. Diese können sich unter anderem aus den durch die Kommission erarbeiteten Standarddatenschutzklauseln in Verbindung mit der wirksamen Umsetzung der betroffenen Rechte ergeben, sodass eine Übermittlung gem. Art. 46 DS-GVO zulässig ist. Weitere Regelungen für den Fall, dass keine Garantien oder kein Angemessenheitsbeschluss vorliegt finden sich in Art. 49 DS-GVO.

Hintergrund: Urteil zur Ungültigkeit des Privacy-Shield-Abkommens

Der Datenschutzbeauftragte Maximilian Schrems aus Österreich legte bereits vor mehreren Jahren bei der irischen Aufsichtsbehörde Beschwerde gegen die Verarbeitung seiner Daten durch Facebook ein. Die personenbezogenen Daten aller in der EU wohnhaften Nutzern werden ganz oder teilweise durch Facebook Ireland an Server der Facebook Inc. in den USA übermittelt oder dort verarbeitet. Er merkte an, dass die USA seiner Auffassung nach keinen ausreichenden Schutz vor dem Zugriff der Behörden aufweisen. Seine damalige Beschwerde wurde zunächst mit dem Vermerk auf die sogenannte „Safe-Harbour-Entscheidung“ abgelehnt, die als „Vorgänger“ des Privacy-Shield-Abkommens gilt. Am 6.10.2015 erklärte dann der EuGH die Entscheidung des irischen Gerichts für ungültig und kippte damit damals „Safe-Habour“.

Nach weiteren Wendungen erließ dann die Europäische Kommission 2016 den Beschluss den wir heute unter dem Namen EU-US-Datenschutzschild „Privacy Shield“ kennen. Nachdem Facebook nun auch weiterhin auf Grundlage der Standard-Vertragsklauseln und des Privacy-Shield-Abkommens Daten in die USA transferierte und Herrn Schrems ursprüngliche Intention diese Übermittlung der Daten zu stoppen immer noch nicht umgesetzt ist, sowie der Zugriff der US-Geheimdienste nach wie vor erfolgen kann, ging er nun in die weitere offensive und klagte nun erneut.

Entscheidung des EuGH

„Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig.“

Der EuGH erläutert weiter im Urteil, dass sich erhebliche Einschränkungen des Schutzes personenbezogener Daten ergeben, insbesondere aufgrund des Zugriffs und der durch US-Recht gewährten Verwendung der Daten durch die US-Behörden. Es sind Vorschriften zur Durchführung der Überwachungsprogramme vorgesehen, aber Betroffene hätten keinerlei Möglichkeiten ihre verliehenen Rechte gegenüber den amerikanischen Behörden gerichtlich durchzusetzen.

Handlungsempfehlungen für Unternehmen

  1. Überprüfen Sie welche Auftragsverarbeiter oder gemeinsam verantwortlichen Unternehmen Daten Ihres Unternehmens in die USA übermitteln.
  2. Überprüfen Sie ob es sich hierbei um personenbezogene Daten von Nutzern oder Kunden handelt.
  3. Prüfen Sie welche der Auftragsverarbeiter oder gemeinsam Verantwortlichen Unternehmen Ihre Verarbeitung auf das Privacy-Shield-Abkommen gestützt haben. (vgl. Datenschutzerklärungen der Unternehmen)
  4. Prüfen Sie die Verträge zur Auftragsverarbeitung oder die Vereinbarungen über die gemeinsame Verantwortlichkeit auf EU-Standard-Vertragsklauseln oder andere beschriebene Garantien oder Einwilligungen oder weitere zugelassene Möglichkeiten (vgl. Art. 44-49 DS-GVO)
  5. Kontaktieren Sie bei fehlenden Informationen zu den oben genannten Themen den Auftragsverarbeiter oder das gemeinsam verantwortliche Unternehmen.
  6. Passen Sie Ihre eigenen Datenschutzerklärungen hinsichtlich des Urteils an.

Wir können helfen – mit unserer Expertise und WebCare!

Mit unserer Lösung, der WebCare, werden bereits alle Texte Ihrer Datenschutzerklärung an die neuen Gegebenheiten des Urteils angepasst. Sämtliche Anforderungen der Urteile (Ungültigkeit des Privacy-Shields, BGH Urteil zu Cookies auf Websites) werden erfüllt, da die WebCare bereits auf die EU-ePrivacy Verordnung ausgelegt ist. Zusätzlich können der Impressumsgenerator sowie die automatisierte Datenschutzerklärung genutzt werden. Alle weiteren Infos finden Sie hier!

Sollten Sie zu diesem Thema oder weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung. Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, ihren Verein oder ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes. Nehmen Sie gerne jederzeit Kontakt zu uns auf.

zurück zum Blog