Datenübermittlung in die USA – Aus für Privacy Shield

Der EuGH hält das Datenschutzniveau in den USA nicht für angemessen, da das Privacy Shield-Abkommen keinen ausreichenden Schutz biete gegenüber nachrichtendienstlichen Aufforderungen zur Herausgabe von personenbezogenen Daten von EU-Bürgern, die in den USA verarbeitet bzw. dorthin übermittelt werden.

Durch die Ungültigkeit des Angemessenheitsbeschlusses kann mit sofortiger Wirkung keine Datenübermittlung in die USA mehr auf den Privacy Shield gestützt werden.

Ob und wann ein „Ersatz“ für die Privacy Shield-Vereinbarung vorhanden sein wird, ist aktuell nicht abzusehen.

Unternehmen sollten überprüfen, welche Dienstleister personenbezogene Daten in Drittländern verarbeiten. Die bisher hierfür genutzten datenschutzrechtlichen Garantien müssen überprüft und ggf. ersetzt werden. Außerdem sollten die Verarbeitungsverzeichnisse und die Datenschutzerklärungen angepasst und Hinweise auf Privacy Shield als Garantie für eine Datenübermittlung entfernt werden.

Eine mögliche Garantie für Datenübermittlungen in die USA können sogenannte  Standardvertragsklauseln sein. Diese wurden von der EU-Kommission neu verabschiedet. 

Viele größere US-Anbieter bieten inzwischen aber die Möglichkeit an, Daten auf EU-Servern zu speichern. Daher sollten Unternehmen ihre US-Dienstleister nach EU-Servern fragen und möglichst in europäischen Rechenzentren ihre Datenhaltung betreiben. Ob dies ein “sicherer” Weg ist, lässt sich abschließend nicht sagen. Das Risiko liegt potentiell im relativ leichten Zugriff auf Daten durch US-Behörden. Dennoch dürfte es gegenüber den Aufsichtsbehörden ein positives Zeichen sein, sich um eine Datenverarbeitung außerhalb der USA zu bemühen.

Art. 49 DSGVO enthält verschiedene Ausnahmen, wonach personenbezogene Daten transferiert werden können, ohne dass es dem Abschluss formaler Klauseln oder Angemessenheitsbeschlüssen bedarf. Unternehmen sollten daher prüfen, ob ihre Datenübermittlung unter diese Ausnahmen fallen könnten.

Ausnahmsweise ist eine Datenübermittlung auch ohne Garantien zulässig, wenn der Betroffene in den Datentransfer in das Drittland eingewilligt hat und über das fehlende angemessene Datenschutzniveau informiert wurde. Eine Übermittlung von Kundendaten ist auch möglich, soweit die Daten für vorvertragliche Maßnahmen oder zur Vertragsabwicklung erforderlich sind. In Betracht kommen insbesondere alltägliche Fälle, in denen der Betroffene die vorvertraglichen oder vertraglichen Maßnahmen selbst veranlasst hat, beispielsweise die Reservierung von Hotels und internationaler Beförderungsleistungen, die Abwicklung internationaler Überweisungen durch die Bank oder der Versand bestellter Ware zur Vertragserfüllung.

Ist die Übermittlung in die USA unzulässig, können die üblichen Sanktionen durch Aufsichtsbehörden drohen. Es könnte die Unterlassung des Einsatzes von Diensten und Dienstleistern verlangt oder Bußgelder (bis 4 % des Umsatzes eines Unternehmens) verhängt werden. Allerdings dürfte davon auszugehen sein, dass die Aufsichtsbehörden aufgrund der schwierigen Lage zunächst zurückhaltend agieren.