Fachbücher zu Daten­schutz und IT-Sicher­heit finden Sie hier.
  1. Home
  2. News
  3. EuGH erklärt Privacy Shield für ungültig
  • Datenschutz

EuGH erklärt Privacy Shield für ungültig

Datenübermittlung in die USA nur noch eingeschränkt möglich

Nach jahrelangem Rechtsstreit hat der EuGH (Urteil in der Rechtssache C-311/18) den EU-US Privacy Shield für ungültig erklärt.

Innerhalb der EU werden personen­bezogene Daten durch die DSGVO geschützt. Hierdurch wird das Grundrecht der EU-Bürger auf Selbst­bestimmung über den Umgang mit Informationen über die eigene Person umfassend gewährleistet. Soweit die EU-Kommission nach umfassender Prüfung des Datenschutz-Niveaus eines anderen Landes außerhalb der EU-Grenzen ein mit der DSGVO vergleichbares staatliches Schutzkonzept festgestellt hat, erlässt sie einen sogenannten Angemessenheits-Beschluss. Besteht ein solcher bedarf es keiner weiteren Maßnahmen, um den Datenschutz zu verbessern.

Für Datenübermittlungen an die USA bestand ein solcher Angemessenheits-Beschluss, jedoch nur unter der Voraussetzung, dass sich das empfangende Unternehmen unter dem EU-US-Privacy Shield selbst zur Einhaltung der darin enthaltenen Vorgaben verpflichtete.

Besteht ein solcher Angemessenheits-Beschluss nicht, gibt es darüber hinaus noch die Möglichkeit, einzelvertraglich mit dem Empfänger im Drittland sogenannte Standard­vertrags­klauseln zu vereinbaren, die auf dieser Ebene zusätzlichen Schutz für die betroffenen Personen hinter den Daten bieten. Diese wurden von der EU-Kommission ebenfalls als eine adäquate Garantie gewertet, das Datenschutz-Niveau im Drittland sicherzustellen.

Der EuGH hatte nun darüber zu entscheiden, ob der EU-US Privacy Shield und die Standard­vertrags­klauseln eine rechtmäßige Grundlage für die Übermittlung von personen­bezogenen Daten in die USA darstellen. Das Verfahren ausgelöst hatte der Datenschutz­aktivist Max Schrems, der verhindern wollte, dass Facebook Irland seine Daten an den Mutterkonzern in die USA übermittelt.

Die Richter haben nun entschieden, dass der Privacy Shield kein angemessenes Datenschutz­niveau für europäische Bürger gewährleistet, da er nicht mit der Charta der Grundrechte der Europäischen Union vereinbar ist. Es fehle an einem ausreichenden Rechtsschutz der EU – Bürger, vor allem bestehe kein Schutz der Daten vor dem Zugriff der US-Regierung. Durch die Gesetzgebung in den USA (etwa den USA PATRIOT Act) haben dortige Behörden weitreichende Befugnisse, die auch Grundrechte der EU-Bürger verletzen können.

Die Standard­vertrags­klauseln halten die Richter jedoch für rechtmäßig. Das Gericht ist der Ansicht des Generalanwalts gefolgt, der in seinem Schlussantrag die Meinung vertreten hat, dass die Standard­vertrags­klauseln eine geeignete Rechtsgrundlage darstellen. Denn die Standard­vertrags­klauseln enthalten wirksame Mechanismen, um das geforderte Datenschutz­niveau der DSGVO einzuhalten. Die Übermittlung, die auf der Grundlage solcher Klauseln erfolgt, kann von der zuständigen Behörde jedoch verboten oder ausgesetzt werden, wenn die Vertragsklauseln nicht befolgt werden. Es muss daher im Einzelfall geprüft werden, ob der Empfänger der Daten das Datenschutz­niveau tatsächlich garantieren kann.

Handlungs­empfehlung

Folgende Punkte sollten daher von Unternehmen beachtet werden, um nach dem Urteil des EuGH, weiterhin rechtmäßig zu handeln.

  • Es sollte überprüft werden, ob mit Geschäftspartnern in den USA, die Standard­vertrags­klauseln abgeschlossen wurden. Viele amerikanische Unternehmen, die auch unter dem Privacy – Shield zertifiziert sind, bieten zusätzlich die Standard­vertrags­klauseln an (z.B. Microsoft, Zoom, Cisco, IBM)
  • Die Standard­vertrags­klauseln dürfen inhaltlich nicht geändert werden und nur eingeschränkt ergänzt werden.
  • Falls keine Standard­vertrags­klauseln abgeschlossen wurden, kann die Daten­übertragung, auf eine Einwilligung nach Art. 49 I lit. a) DSGVO gestützt werden.
  • Für Konzerne besteht die Möglichkeit interne verbindliche Datenschutz­vorschriften, gemäß den Voraussetzungen des Art. 46 II lit. b) DSGVO, zu erlassen.
  • Unter bestimmten Voraussetzungen ist eine Übermittlung in die USA zur Begründung oder Durchführung eines Vertrags möglich (Art. 49 I lit b) DSGVO).
  • Datenschutz­erklärungen/Datenschutz­informationen sowie die Verarbeitungs­verzeichnisse sind - an das Urteil des EuGH - anzupassen.

Ausblick

Obwohl der Privacy Shield für ungültig erklärt wurde, sind Datenübermittlungen – wenn auch nur eingeschränkt - in die USA möglich. Es sollte unbedingt darauf geachtet werden, die Standard­vertrags­klauseln abzuschließen. Möglich ist auch das Ausweichen auf andere Rechtsgrundlagen. Es bleibt abzuwarten, wie die deutschen Datenschutz­behörden auf das Urteil reagieren. Um Haftungsrisiken zu vermeiden, ist es möglich, die Meinung der zuständigen Datenschutz­behörde einzuholen.

Zudem ist bekannt, dass die EU – Kommission bereits mit dem Urteil gerechnet hat und daher bereits an alternativen Instrumenten zur Daten­übermittlung, arbeitet. Bis dahin sollten die o.g. Empfehlungen beachtet werden.

Die Standard­vertrags­klauseln mit einem Auftragsverarbeiter finden unsere Kunden online im myGINDAT-Portal im Gesamtpaket unter „09 Auftragsverarbeitung“.

Zurück
© 2011–2024 GINDAT GmbH

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo