Unwirksamkeit des EU-US-Privacy Shields- EuGH-Rechtsprechung Juli 2020- Teil 1
-
Ausgangssituation:
In der heutigen globalen Zeit finden sehr viele Datenübermittlungen in das Ausland statt. Gemäß der Europäischen Datenschutz-Grundverordnung (DSGVO) sind zwar grundsätzlich alle Datenverarbeitungen verboten (auch die Weitergabe in Drittländer, wie die USA), es sei denn, eine gesetzliche Grundlage erlaubt die Weitergabe.
Hierfür müssen sodann zwei Voraussetzungen gegeben sein:
- eine Rechtsgrundlage
- eine geeignete Garantie zur Sicherstellung eines angemessenen Datenschutzniveaus
Bei der Übermittlung von Daten innerhalb der EU, ist aufgrund des EU-weiten Geltungsbereichs der DSGVO davon auszugehen, dass in den EU-Ländern ein angemessenes Datenschutzniveau herrscht. Anderes gilt jedoch für die Übermittlung von personenbezogenen Daten in die USA. Hie müssen geeignete Garantien getroffen werden, um ein angemessenes Datenschutzniveau herzustellen.
Dies wurde bisher durch das EU-US-Privacy Shield oder den Abschluss von EU-Standardvertragsklauseln sowie Binding Corporate Rules (BCR) durchgeführt. Haben sich US-amerikanische Unternehmen zertifizieren und in die Liste des EU-US-Privacy Shield eintragen lassen, konnte dies zur Herstellung eines geeigneten Datenschutzniveaus herangezogen werden und die Datenweitergabe in die USA war nach der DSGVO erlaubt.
Jedoch befasste sich der Europäische Gerichtshof (EuGH) in letzter Zeit mit dem System des EU-US-Privacy Shields und erklärte es in seiner Rechtsprechung am 16.07.2020 für unwirksam.
Die Entscheidung des EuGH hat weitreichende Folgen für Unternehmen, da sie sich für die Übermittlung von personenbezogenen Daten in die USA nicht mehr ohne weiteres auf das EU-US-Privacy Shield stützen können. Das bedeutet, dass die Datenweitergabe, allein auf das Privacy Shield gestützt, ab diesem Zeitpunkt unwirksam ist. In den meisten Unternehmen sind sehr viele Bereiche betroffen. Beginnend mit dem Betriebssystem der Laptops und weiteren Endgeräten, Office Software, Videokonferenzlösungen und Cloudspeicherdiensten bis hin zu Social-Media und Online-Marketingaktivitäten. Rechtskonforme Lösungsmöglichkeiten sind in den betroffenen Bereichen nur schwer herzustellen.
Nach der Rechtsprechung des EuGH stellen die EU-Standardvertragsklauseln (Stand jetzt) momentan noch geeignete Garantien dar und können ein angemessenes Datenschutzniveau sicherstellen. Der EuGH stellt jedoch in seinem Urteil klar, dass auch beim Datenexport auf der Grundlage der EU-Standardvertragsklauseln ein Risiko für die betroffenen Personen besteht.
Die Aufsichtsbehörden für den Datenschutz sind ihrerseits verpflichtet, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie der Auffassung sind, dass die EU-Standardvertragsklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann.
Die Folgen und Konsequenzen für Unternehmen werden nachfolgend dargestellt sowie mögliche Handlungsempfehlungen erläutert.
-
Ausführungen des EuGHs zur Unwirksamkeit des EU-US-Privacy Shields:
Der EuGH erklärt das EU-US-Privacy Shield für unwirksam und begründet seine Entscheidung auf den unverhältnismäßigen Zugriff von US-Sicherheitsbehörden auf die übermittelten personenbezogenen Daten der EU-Bürger. US-Sicherheitsbehörden und Geheimdienste haben bei US-amerikanischen Unternehmen die Möglichkeit, fast uneingeschränkt die im Unternehmen gespeicherten Daten abzugreifen, zu analysieren und zu anderen Zwecken zu verarbeiten.
Darüber hinaus hätten EU-Bürger keine geeigneten Rechtschutzmöglichkeiten, um datenschutzrechtliche Ansprüche geltend zu machen oder Datenschutzverstöße überprüfen zu lassen.
Schlussendlich hat die für das EU-US-Privacy Shield eingesetzte Ombudsperson keine ausreichende Überwachungsmöglichkeit, um Datenschutzverletzungen aufzuklären.
III. Betroffene Datenverarbeitungsvorgänge im Unternehmen:
Das Urteil der EuGH-Richter hat weitreichend Folgen für alle Unternehmen.
Betroffen von diesem Urteil und dem daraus folgenden Wegfall des EU-US-Privacy Shields als geeignete Garantie für ein angemessenes Datenschutzniveau können nachfolgende Systeme oder Dienstleistungen von in den USA ansässigen Dienstleistern sein (diese Aufzählung ist beispielhaft und nicht abschließend):
- Google-Analytics
- YouTube-Videos
- Vimeo-Videos
- Social-Media-PlugIns
- Google-Maps
- Videokonferenzsysteme
- MS Office 365 und Teams
- File-Transfer-Dienstleister
- Weitere Dienstleister mit Sitz in den USA oder, die personenbezogene Daten in den USA speichern oder dorthin weiterleiten (z.B. Cloudanbieter, Newsletterversand, usw.)
Die Folgen und Konsequenzen für Unternehmen sowie mögliche Handlungsempfehlungen werden in Teil 2 erläutert.
PRIOLAN als Ihr externer Datenschutzbeauftragter (jetzt anfragen!)
Datenschutz im Unternehmen ist ein komplexes Thema. Wenn Sie Unterstützung benötigen, um auf der sicheren Seite zu sein, können Sie sich vertrauensvoll an uns von PRIOLAN wenden. Wir helfen Ihnen deutschlandweit, rechtssicher zu werden und vor Abmahnungen geschützt zu sein.
Sie erreichen uns jederzeit über unser Kontaktformular oder während unserer Geschäftszeiten telefonisch unter 07131 / 26 28 0. Schützen Sie sich jetzt!