Recht und Steuern

EuGH kippt Privacy Shield Abkommen

Mit Urteil vom 16. Juli 2020 ( Rechtssache C-311/18, Schrems II) erklärt der EuGH den Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA für ungültig. 
Mit der Aufzeichnung unseres Webinars vom 31.3.2021 erhalten Sie einen Schnelleinstieg in die Thematik, der es Ihnen ermöglicht, die Betroffenheit Ihres Unternehmens und den eigenen Handlungsbedarf einzuschätzen. Im Gespräch mit der Handelskammer haben der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar, und der Geschäftsführer von hamburg.de, Carsten Ludowig, die Thematik aus Sicht der zuständigen Aufsichtsbehörde und eines betroffenen Unternehmens beleuchtet. Außerdem unterstützt unser Whitepaper (PDF-Datei · 371 KB) Sie mit einem geeigneten Prüfschema bei der notwendigen Überprüfung Ihrer Geschäftsprozesse.
Quelle: Pressemitteilung (PDF-Datei · 240 KB) zum Urteil in der Rechtssache Date Protection C-311-18

Privacy Shield

Die EU-US Privacy Shield ist eine zwischen der europäischen Kommission und den USA ausgehandelte Vereinbarung, welcher erlaubt, unter bestimmten Voraussetzungen personenbezogene Daten aus der Europäischen Union in die USA zu übermitteln und dort zu verarbeiten. Diese Vereinbarung für den Datenaustausch wurde am 16. Juli 2020 vom höchsten europäischen Gericht gekippt. Die Entscheidung betrifft insbesondere amerikanische IT-Konzerne und damit auch Anwendungen, wie zahlreiche andere Cloud-Dienste-, Tracking- und Newsletteranbieter, google analytics, Microsoft Azure, Office 365, Slack oder MailChimp.  Damit können nun nicht mehr einfach amerikanische Firmen mit der Bearbeitung von Daten beauftragt oder diese auf US-Servern gespeichert werden. 
Die Ungültigkeit des Angemessenheitsbeschlusses gilt mit sofortiger Wirkung, sodass keine Datenübermittlung in die USA mehr auf den Privacy Shield gestützt werden kann. Datenschutzbehörden werden durch das Gericht aufgefordert, Datenübermittlungen zu untersagen, wenn es keine gültige Rechtsgrundlage für die Übermittlung gibt. Eine „Schonfrist“ gibt es nicht.

Handlungsempfehlungen

Die Folgen des Urteils ziehen erhebliche organisatorische Maßnahmen und damit verbunden auch personelle und finanzielle Ressourcen mit sich. Art. 49 DSGVO enthält etliche Ausnahmen von der Vorlage formaler Klauseln oder Angemessenheitsbeschlüssen.  Unternehmen sollten daher prüfen, ob Ihre Datenübermittlung unter diese Ausnahme fallen könnte.
Sofern Sie personenbezogene Daten aus der EU in die USA übersenden, sollten Sie insbesondere folgende Punkte kurzfristig umsetzen:
  • Erstellung einer Liste mit Softwareanbietern und Dienstleistern aus den USA.
  • Prüfung, ob diese Vertragspartner kurzfristig Regelungen für Kunden aus der EU treffen werden oder alternative Lösungen anbieten wie
    a.) die Nutzung von Einwilligungstools,
    b.) die Einbeziehung von EU-Standard-Vertragsklauseln,
    c.) die Datenverarbeitung ausschließlich auf EU-Servern und weiteres
  • Datenschutzerklärungen sind anzupassen (z.B. in Zusammenhang mit Google Analytics oder einem Hinweis auf das Privacy Shield u.a.)
  • Verträge sind anzupassen 
  • Prüfen Sie, ob Sie Auftragsverarbeiter in den USA nutzen oder etwaige Zustimmungen für deren Subunternehmen in den USA zugelassen haben
  • Sofern Sie auf Verarbeiter in den USA angewiesen sind, nehmen Sie eine Einzelfallprüfung des Schutzniveaus der übermittelten Daten vor.
Die Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. c DSGVO bieten eine Möglichkeit. Allerdings setzen auch sie eine Angemessenheit des Datenschutzniveaus voraus. Können die Klauseln, die die EU-KOM verabschiedet hat, dies im Einzelfall nicht garantieren, müssen zusätzliche Vereinbarungen zwischen dem Datenexporteur in der EU und dem Datenimporteur in den USA getroffen werden. Für die Notwendigkeit weiterer Vereinbarungen mit US-amerikanischen Geschäftspartnern spricht nach dem Urteil des EuGH sehr viel. Wie das angesichts der Rechtslage bzgl. der Nachrichtendienste in den USA funktionieren soll, ist aber sehr fraglich. Die Aufsichtsbehörden können die Übermittlung aufgrund der Standarddatenschutzklauseln untersagen, wenn sie der Meinung sind, dass die Angemessenheit nicht gewährleistet ist. Das gilt nicht nur für die USA, sondern betrifft alle Drittländer, in die auf Basis der Klauseln personenbezogene Daten übermittelt werden (z. B. China, Russland, Indien).

Folgen bei Verstößen

Bei Verstößen gegen die Bestimmungen der DSGVO drohen Geldbußen von bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten Jahresumsatzes eines Unternehmens. Die erheblichen Bußgelder, welche seitens der Landesdatenschutzbeauftragten in den letzten Monaten verhängt wurden, zeigen, dass das Thema ernst genommen werden sollte.

Ausblick

Wie und wann ein Ersatz für die Privacy Shield Vereinbarung verhandelt werden wird, ist nicht abzusehen. Wegen der bevorstehenden Wahlen in den USA und der vorhandenen nachrichtendienstlichen Rechtslage kann das einige Zeit dauern. Eine mögliche Überbrückungsmöglichkeit könnte darin zu sehen sein, dass eine Vereinbarung über die EU-Standarddatenschutzklauseln getroffen wird. Diese werden von der EU-Kommission vorgegeben und können auf Vertragsbasis einen angemessenen Datenschutzniveau beim Anbieter im Drittland herstellen. Damit könnten Sie Vertragspartner und digitale Dienstleister zunächst weiter nutzen, wenn Sie die Standardvertragsklauseln individuell im Verhältnis zum jeweiligen Vertragspartner vereinbaren. Sofern eine Vereinbarung mit dem jeweiligen Vertragspartner nicht zustande kommt, sollte die Zusammenarbeit beendet werden und ein europäischer Anbieter vorgezogen. 
Hinweis: Diese Informationen sollen Ihnen nur erste Hinweise geben und erheben daher keinen Anspruch auf Vollständigkeit. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurden, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.