1. Home
  2. News
  3. EuGH erklärt Privacy Shield für ungültig
  • Datenschutz

EuGH erklärt Privacy Shield für ungültig

Datenübermittlung in die USA nur noch eingeschränkt möglich

Nach jahrelangem Rechtsstreit hat der EuGH (Urteil in der Rechtssache C-311/18) den EU-US Privacy Shield für ungültig erklärt.

Innerhalb der EU werden personen­bezogene Daten durch die DSGVO geschützt. Hierdurch wird das Grundrecht der EU-Bürger auf Selbst­bestimmung über den Umgang mit Informationen über die eigene Person umfassend gewährleistet. Soweit die EU-Kommission nach umfassender Prüfung des Datenschutz-Niveaus eines anderen Landes außerhalb der EU-Grenzen ein mit der DSGVO vergleichbares staatliches Schutzkonzept festgestellt hat, erlässt sie einen sogenannten Angemessenheits-Beschluss. Besteht ein solcher bedarf es keiner weiteren Maßnahmen, um den Datenschutz zu verbessern.

Für Datenübermittlungen an die USA bestand ein solcher Angemessenheits-Beschluss, jedoch nur unter der Voraussetzung, dass sich das empfangende Unternehmen unter dem EU-US-Privacy Shield selbst zur Einhaltung der darin enthaltenen Vorgaben verpflichtete.

Besteht ein solcher Angemessenheits-Beschluss nicht, gibt es darüber hinaus noch die Möglichkeit, einzelvertraglich mit dem Empfänger im Drittland sogenannte Standard­vertrags­klauseln zu vereinbaren, die auf dieser Ebene zusätzlichen Schutz für die betroffenen Personen hinter den Daten bieten. Diese wurden von der EU-Kommission ebenfalls als eine adäquate Garantie gewertet, das Datenschutz-Niveau im Drittland sicherzustellen.

Der EuGH hatte nun darüber zu entscheiden, ob der EU-US Privacy Shield und die Standard­vertrags­klauseln eine rechtmäßige Grundlage für die Übermittlung von personen­bezogenen Daten in die USA darstellen. Das Verfahren ausgelöst hatte der Datenschutz­aktivist Max Schrems, der verhindern wollte, dass Facebook Irland seine Daten an den Mutterkonzern in die USA übermittelt.

Die Richter haben nun entschieden, dass der Privacy Shield kein angemessenes Datenschutz­niveau für europäische Bürger gewährleistet, da er nicht mit der Charta der Grundrechte der Europäischen Union vereinbar ist. Es fehle an einem ausreichenden Rechtsschutz der EU – Bürger, vor allem bestehe kein Schutz der Daten vor dem Zugriff der US-Regierung. Durch die Gesetzgebung in den USA (etwa den USA PATRIOT Act) haben dortige Behörden weitreichende Befugnisse, die auch Grundrechte der EU-Bürger verletzen können.

Die Standard­vertrags­klauseln halten die Richter jedoch für rechtmäßig. Das Gericht ist der Ansicht des Generalanwalts gefolgt, der in seinem Schlussantrag die Meinung vertreten hat, dass die Standard­vertrags­klauseln eine geeignete Rechtsgrundlage darstellen. Denn die Standard­vertrags­klauseln enthalten wirksame Mechanismen, um das geforderte Datenschutz­niveau der DSGVO einzuhalten. Die Übermittlung, die auf der Grundlage solcher Klauseln erfolgt, kann von der zuständigen Behörde jedoch verboten oder ausgesetzt werden, wenn die Vertragsklauseln nicht befolgt werden. Es muss daher im Einzelfall geprüft werden, ob der Empfänger der Daten das Datenschutz­niveau tatsächlich garantieren kann.

Handlungs­empfehlung

Folgende Punkte sollten daher von Unternehmen beachtet werden, um nach dem Urteil des EuGH, weiterhin rechtmäßig zu handeln.

  • Es sollte überprüft werden, ob mit Geschäftspartnern in den USA, die Standard­vertrags­klauseln abgeschlossen wurden. Viele amerikanische Unternehmen, die auch unter dem Privacy – Shield zertifiziert sind, bieten zusätzlich die Standard­vertrags­klauseln an (z.B. Microsoft, Zoom, Cisco, IBM)
  • Die Standard­vertrags­klauseln dürfen inhaltlich nicht geändert werden und nur eingeschränkt ergänzt werden.
  • Falls keine Standard­vertrags­klauseln abgeschlossen wurden, kann die Daten­übertragung, auf eine Einwilligung nach Art. 49 I lit. a) DSGVO gestützt werden.
  • Für Konzerne besteht die Möglichkeit interne verbindliche Datenschutz­vorschriften, gemäß den Voraussetzungen des Art. 46 II lit. b) DSGVO, zu erlassen.
  • Unter bestimmten Voraussetzungen ist eine Übermittlung in die USA zur Begründung oder Durchführung eines Vertrags möglich (Art. 49 I lit b) DSGVO).
  • Datenschutz­erklärungen/Datenschutz­informationen sowie die Verarbeitungs­verzeichnisse sind - an das Urteil des EuGH - anzupassen.

Ausblick

Obwohl der Privacy Shield für ungültig erklärt wurde, sind Datenübermittlungen – wenn auch nur eingeschränkt - in die USA möglich. Es sollte unbedingt darauf geachtet werden, die Standard­vertrags­klauseln abzuschließen. Möglich ist auch das Ausweichen auf andere Rechtsgrundlagen. Es bleibt abzuwarten, wie die deutschen Datenschutz­behörden auf das Urteil reagieren. Um Haftungsrisiken zu vermeiden, ist es möglich, die Meinung der zuständigen Datenschutz­behörde einzuholen.

Zudem ist bekannt, dass die EU – Kommission bereits mit dem Urteil gerechnet hat und daher bereits an alternativen Instrumenten zur Daten­übermittlung, arbeitet. Bis dahin sollten die o.g. Empfehlungen beachtet werden.

Die Standard­vertrags­klauseln mit einem Auftragsverarbeiter finden unsere Kunden online im myGINDAT-Portal im Gesamtpaket unter „09 Auftragsverarbeitung“.

About Cookies

This website uses cookies. Those have two functions: On the one hand they are providing basic functionality for this website. On the other hand they allow us to improve our content for you by saving and analyzing anonymized user data. You can redraw your consent to to using these cookies at any time. Find more information regarding cookies on our Data Protection Declaration and regarding us on the Imprint.
Mandatory

These cookies are needed for a smooth operation of our website.

Name Purpose Lifetime Type Provider
CookieConsent Saves your consent to using cookies. 1 year HTML Website
fe_typo_user Assigns your browser to a session on the server. session HTTP Website
PHPSESSID Temporary cookies which is required by PHP to temporarily store data. session HTTP Website
__cfduid missing translation: trackingobject.__cfduid.desc 30 missing translation: duration.days-session HTTP Cloudflare/ report-uri.com
Statistics

With the help of these statistics cookies we check how visitors interact with our website. The information is collected anonymously.

Name Purpose Lifetime Type Provider
_pk_id Used to store a few details about the user such as the unique visitor ID. 13 months HTML Matomo
_pk_ref Used to store the attribution information, the referrer initially used to visit the website. 6 months HTML Matomo
_pk_ses Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
_pk_cvar Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
MATOMO_SESSID Temporary cookies which is set when the Matomo Out-out is used. session HTTP Matomo
_pk_testcookie missing translation: trackingobject._pk_testcookie.desc session HTML Matomo