EuGH erklärt EU/US-Privacy Shield für unwirksam

Der EuGH hat mit Urteil vom 16. Juli 2020 das transatlantische Datenschutzabkommen „Privacy Shield“ für unwirksam erklärt (EuGH, 16.7.2020 – C-311/18 “Schrems II”, Pressemitteilung). Was bei Datenschützern als fulminanter Sieg gefeiert wird, sorgt in der Politik und Wirtschaft für großen Wirbel. Viele Unternehmen sind nun verunsichert. Wir haben die wichtigsten Punkte zusammengefasst.

Worum geht es beim „Privacy Shield“? 

Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, wenn in den sogenannten “Drittländern” kein angemessenes Datenschutzniveau herrscht (Art.44-49 DSGVO). Zu diesen Drittländern zählen auch die Vereinigten Staaten von Amerika. Aus diesem Grund vereinbarten die Europäische Union und die USA das Datenschutzabkommen „Privacy Shield“.

Dieser Pakt stellte bisher die Hauptgrundlage für Datentransfers zwischen der EU und den USA dar. Er berechtigte Unternehmen zur Datenübermittlung, wenn diese sich verpflichteten, die in diesem Abkommen vereinbarten Grundsätze einzuhalten.

Das Urteil des EuGH

Das Urteil vom 16. Juli 2020 ist das Ergebnis eines jahrelangen Rechtsstreits, der sich ursprünglich um Facebook und dessen Datenübertragung von Irland in die USA gedreht hatte. Nach Ansicht des EuGH bietet der „Privacy Shield“ keinen ausreichenden Schutz für ein wirksames Datenschutzniveau. US-Behörden wie der NSA und dem FBI stünde Einsicht in Daten von EU-Bürgern auch ohne gerichtlichen Beschluss und Rechtsschutz zu – und ohne, dass sich die Betroffenen dagegen wehren könnten. Diese weit weniger restriktiven Datenschutzbestimmungen verstoßen aber gegen die Grundrechte von EU-Bürgern auf Privatleben, Datenschutz und wirksamen Rechtsbehelf.

Mit der Erklärung, dass das von Anfang an umstrittene Abkommen unwirksam sei, ist mit dem „Privacy Shield“ nun die zweite Vereinbarung zwischen den USA und der EU gescheitert. 2015 beendete der EuGH bereits das sogenannte „Safe-Harbor“-Abkommen.

Welche Daten sind von dem Urteil betroffen? 

Das Datenschutzrecht behandelt nur den Umgang von sogenannten personenbezogenen Daten; also Daten, mit denen Personen eindeutig identifiziert werden können. Dazu gehören beispielsweise Name und Geburtsdatum. Andere Daten, wie Businessdaten oder Maschinendaten sind von der DSGVO und dem aktuellen Urteil des EuGH nicht betroffen.

Persönliche Daten können jedoch weiterhin zwischen zwei Staaten übermittelt werden, wenn eine der folgenden Situationen gegeben ist:

  • Es wurde ein gleichwertiges Datenschutzniveau festgestellt
  • absolut notwendige Datentransfers gemäß Artikel 49 DSGVO
  • freiwillige Datenübertragungen von Nutzern, beispielsweise wenn EU-Bürger eine Hotelübernachtung auf einer US-Website buchen

Im Zuge des EuGH-Urteils sind zudem die sogenannten Standardvertragsklauseln (SVK) ins Blickfeld der Rechtsprechung gerückt. US-Konzerne wie Amazon, Facebook, Google und Microsoft haben sich bisher über diese Klauseln in Bezug auf den Datentransfer zusätzlich abgesichert. Was das Urteil für diese Standardklauseln bedeutet, ist bisher nicht eindeutig. In Bezug auf Datenübermittlungen in die USA könnten diese aber in Frage gestellt werden.

Welche Rechtsfolgen drohen?

Nach dem Urteil des EuGH liegt der Ball nun zunächst bei den europäischen Aufsichtsbehörden und Datenschutzbeauftragten. Es liegt nun an ihnen, dazu zu beraten, wie mit Unternehmen umgegangen wird, die sich weiterhin auf den „Privacy Shield“ berufen. Mögliche Konsequenzen wären Forderungen auf Unterlassung durch Datenschutzbehörden oder sogar Bußgelder. Darüber hinaus könnten Nutzer oder Kunden Unternehmen abmahnen und Schadensersatz verlangen. Auch Abmahnungen durch Mitbewerber und Verbraucherschutzorganisationen sind vorstellbar. Bisher herrscht jedoch massive Rechtsunsicherheit und können dazu keine eindeutigen Aussagen getroffen werden.

Was das für Unternehmen in der Praxis bedeutet 

Das Urteil des EuGH hat zu großer Unsicherheit geführt. Noch ist offen, ob ein erneutes Abkommen zwischen den USA und der EU abgeschlossen wird und welche Handlungsoptionen sich daraus ergeben werden. Klar ist jedoch, wer bislang allein auf das „Privacy Shield“ gebaut hat, wird sich auf andere Verfahren umstellen müssen.

Wir haben einige Empfehlungen gesammelt, worauf Unternehmen grundsätzlich achten sollten. Diese ersetzen jedoch keine Rechtsberatung. Sollten Sie bezüglich der Verarbeitung von Daten in Ihrem Unternehmen unsicher sein, raten wir Ihnen, sich entsprechenden Rechtsbeistand zu suchen.

  • Keine US-Dienstleister einsetzen– Keine Dienstleister einsetzen, die Daten in den USA verarbeiten. Das gilt auch für Dienstleister mit Subunternehmen, die Daten in die USA übermitteln. Es wäre zumindest zu empfehlen, sich über Alternativen zu informieren und deren Einsatz zu prüfen.
  • Bei US-Anbietern auf EU-Server ausweichen– Sollten Sie definitiv das Angebot eines US-Dienstleisters weiterhin nutzen, informieren Sie sich über die Verarbeitung von Daten auf EU-Servern. Microsoft und Amazon Web Services bieten diese Möglichkeit beispielsweise an.
  • Einwilligung der Nutzer einholen– Achten Sie in diesem Fall darauf, dass die Nutzer transparent auf den Einsatz von US-Dienstleistern und die Risiken hingewiesen werden.
  • Verträge und Datenschutzerklärungen anpassen– Entfernen Sie Hinweise auf das „Privacy-Shield“-Abkommen

Die gängigsten Anbieter, die jetzt betroffen sind:

 

  • Facebook (+ WhatsApp & Instagram)
  • Google (+ YouTube)
  • Microsoft
  • Zoom
  • Apple
  • IBM
  • Adobe
  • Dropbox
  • MailChimp
  • Active Campaign

 

Eine Liste mit allen US-amerikanischen Anbietern, die sich auf das Privacy Shield-Abkommen berufen, finden Sie hier.