EuGH kippt Privacy Shield – Was müssen Unternehmen künftig beachten?
Dieser Beitrag informiert darüber, welche Handlungspflichten Unternehmen durch den Wegfall des Privacy Shields treffen. In welchen Fällen sollte die Datenübertragung in einen Drittstaat besser gestoppt werden?
Der Fluss personenbezogener Daten aus Drittländern und in Drittländer ist für die Ausweitung des internationalen Handels notwendig und kommt somit auch europäischen Unternehmen große Bedeutung zu.
Die Zunahme dieser Datenströme führen jedoch zu weiteren Herausforderungen und Anforderungen in Bezug auf den Schutz personenbezogener Daten. Das durch die DSGVO unionsweit gewährleistete Schutzniveau für natürliche Personen soll bei der Übermittlung personenbezogener Daten aus der Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern (oder an internationale Organisationen) nicht untergraben werden, und zwar auch dann nicht, wenn aus einem Drittland (oder von einer internationalen Organisation) personenbezogene Daten an Verantwortliche oder Auftragsverarbeiter in demselben oder einem anderen Drittland oder an dieselbe oder eine andere internationale Organisation weiterübermittelt werden. In jedem Fall sind Datenübermittlungen an Drittländer (und internationale Organisationen) nur unter Einhaltung der Vorgaben der DSGVO zulässig (ErwG 101 DSGVO).
Im Wesentlichen dürfen somit personenbezogene Daten, die unter den Schutz der DSGVO fallen, nur dann in Drittländer übermittelt werden, wenn dort ein vergleichbares Datenschutzniveau herrscht.
Übermittlung von personenbezogenen Daten in die USA: Was ändert sich durch den Wegfall des Privacy Shields?
Von besonderer wirtschaftlicher Bedeutung ist die Übermittlung von personenbezogenen Daten in die USA. Europäische Unternehmen setzen häufig eine Vielzahl von Diensten ein, die zu einer US-Datenübermittlung führen bzw führen können. Dabei kann es sich um die Übermittlung von Mitarbeiterdaten an Hotels im Zuge von geplanten Geschäftsreisen handeln, häufig ist jedoch bereits der organisationseigene Webauftritt mit US-Diensten wie Google Analytics, Instagram oder Facebook verbunden, werden regelmäßig US-Newsletterdienste wie Mailchimp eingesetzt oder US-Videokonferenz-Tools verwendet.
Bislang wurde eine Vielzahl an Datenübermittlungen in die USA auf das EU-US-Privacy-Shield-Übereinkommen gestützt. Dabei handelt es sich um eine informelle Absprache, bei der neben einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung ein Angemessenheitsbeschluss der EU-Kommission folgte, wonach die Vorgaben des Privacy-Shields dem Datenschutzniveau der Europäischen Union entsprechen. Dieses wurde jedoch am 16. Juli 2020 mit dem Urteil EuGH C-311/181 das „EU-US-Privacy-Shield“ mit sofortiger Wirkung für unwirksam erklärt. Hier besteht somit keinerlei Übergangsfrist.
Unmittelbare Handlungspflichten für Unternehmen durch den Wegfall des Privacy Shields
Für EU-Unternehmen die personenbezogenen Daten auf Basis des EU-US-Privacy Shields in die USA übermitteln, ergeben sich daraus nun unmittelbare Handlungspflichten.
Durch das Ende des EU-US-Privacy-Shields, müssen Unternehmen, die sich bislang ausschließlich auf diese Rechtsgrundlage für die US-Datenübermittlung gestützt haben, prüfen ob andere Rechtsgrundlagen bestehen. Denkbar ist dabei vor allem die Heranziehung von Standardvertragsklauseln (Entscheidung 2010/87/EG der Europäischen Kommission über Standardvertragsklauseln, Standard Contractual Clauses, "SCC")
Neben der Entscheidung zum EU-US-Privacy-Shield, wurde im Urteil des EuGH auch die Frage der Gültigkeit der „SCC“ adressiert.
Die SCC wurden zwar für grundsätzlich weiterhin gültig erklärt, jedoch wurde darauf hingewiesen, dass der Beschluss 2010/87/EG dem Datenexporteur und dem Empfänger der Daten (dem „Datenimporteur“) grundsätzlich die Verpflichtung auferlegt, vor jeder Übermittlung unter Berücksichtigung der Umstände der Übermittlung zu prüfen, ob dieses Schutzniveau in dem betreffenden Drittland auch eingehalten wird. Zudem wurde ausgeführt, dass der Datenimporteur verpflichtet ist, den Datenexporteur über die Unfähigkeit zu informieren ist, die Standarddatenschutzklauseln und erforderlichenfalls zusätzliche Maßnahmen zu den durch diese Klauseln gebotenen, zu erfüllen. Können diese Anforderungen nicht erfüllt werden, müsse der Datenexporteur die Datenübermittlung entweder aussetzen und/oder den Vertrag mit dem Datenimporteur beenden.
Daraus ergibt sich, dass SCCs zwar weiterhin als Rechtsgrundlage für die Übermittlung in das unsichere Drittland USA eingesetzt werden können, hier hat jedoch stets eine Einzelfallbeurteilung zu erfolgen.
Insgesamt muss stets sichergestellt werden, dass ein angemessenes Schutzniveau für die personenbezogenen Daten von Betroffenen garantiert wird und es besteht für alle Organisationen die personenbezogene Daten in die USA übermitteln, die Pflicht zur aktiven Prüfung im Hinblick auf die Zulässigkeit jeder Übermittlung personenbezogener Daten in die USA.
Wann sollte die Datenübertragung in einen Drittstatt gestoppt werden?
In folgenden Fällen sollten die Datenübertragungen in einen Drittstaat gestoppt werden:
- Die Organisation oder einer der Partner baut weiterhin ausschließlich auf Privacy Shield die Rechtfertigung eines „angemessenen Datenschutzniveaus“,
- Die Organisation übermittelt Daten an einen US „Electronic Communication Service Provider“ und es besteht auch keine Ausnahme nach Art 49 DSGVO
- Die Datenübermittlung kann auch sonst (insb. durch Technikgestaltung) nicht vor Abhörung durch die NSA geschützt werden.
Zum Beitrag
Arbeitshilfen
Produkt-Empfehlungen
Arbeitshilfen
