Ende des Privacy-Shield-Abkommens – Auswirkungen des Urteils des EuGHs vom 16.7.2020 (Az. C-331/18)

PrintMailRate-it

​veröffentlicht am 22. September 2020; Autoren: Christoph Naucke, Maximilian S. Dachlauer

 

Banner Laptopkabel

 

Mit dem Urteil vom 16.7.2020 hat der Europäische Gerichtshof (EuGH) das EU-US Privacy Shield-Abkommen für unwirksam erklärt. Das auch als „Schrems II” bekannte Verfahren hat weitreichende Auswirkungen auf die Möglichkeit, datenschutzkonform personenbezogene Daten in die USA zu übermitteln.

 

Krankenhäuser, Pflegeeinrichtungen, Wohlfahrtsverbände und Hochschulen sollten daher prüfen, ob sie Datenübermittlungen in die USA vornehmen (z. B. durch Inanspruchnahme bestimmter IT-Dienstleistungen) und wie sie derzeit die durch die Datenschutz-Grundverordnung (DSGVO) vorgeschriebenen Bedingungen für Datenübermittlungen in die Vereinigten Staaten als ein sogenanntes Drittland, d. h. ein Land, das weder zur Europäischen Union noch zum Europäischen Wirtschaftsraum gehört, einhalten.


Wird der interkontinentale Datentransfer in die USA auf Grundlage des EU-US Privacy Shield-Abkommens vorgenommen oder werden sogenannte Standardvertragsklauseln genutzt, besteht nach dem Urteil des EuGHs sofortiger Handlungsbedarf. Es gilt keine Übergangszeit oder Gnadenfrist. Der Datentransfer in die USA kann unter Umständen ab sofort rechtswidrig sein.


Hintergrund

Jede Übermittlung personenbezogener Daten an ein Drittland ist unter Geltung der DSGVO nur zulässig, wenn der Verantwortliche oder der Auftragsverarbeiter die in den Art. 44 ff. DSGVO niedergelegten Bedingungen einhält.


Eine Datenübermittlung in ein Drittland kann unter anderem datenschutzkonform erfolgen, wenn die EU-Kommission einen sogenannten Angemessenheitsbeschluss für dieses Drittland erlassen hat (Art. 45 DSGVO). Durch den Beschluss wird festgelegt, dass ein Drittland ein angemessenes Schutzniveau für personenbezogene Daten bietet. Dabei werden die innerstaatlichen Rechtsvorschriften des Landes, seine Aufsichtsbehörden und die von ihm eingegangenen internationalen Verpflichtungen berücksichtigt. Folge eines solchen Angemessenheitsbeschlusses ist es, dass personenbezogene Daten ohne weitere Anforderungen in dieses Drittland übermittelt werden können. Bislang wurden Angemessenheitsentscheidungen getroffen für: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel (eingeschränkt), Japan, Jersey, Kanada (eingeschränkt), Neuseeland, Schweiz und Uruguay. Auch für die USA wurde 2016 ein beschränkter Angemessenheitsbeschluss erlassen.


Das „EU-US Privacy Shield-Abkommen”

Der Angemessenheitsbeschluss besagte, dass die Regelungen des sogenannten EU-US Privacy Shield-Abkommens ein ausreichendes Schutzniveau für personenbezogene Daten auch in den USA gewährleisten. Die Regelungen des Abkommens zwischen der EU und der USA sehen Grundsätze zum Datenschutz vor, die amerikanische Unternehmen durch Selbstverpflichtung sich auferlegen können, sowie schriftliche Zusicherungen der US-amerikanischen Regierung, den Zugriff auf personenbezogene Daten von EU-Bürgern aus Gründen der nationalen Sicherheit zu beschränken und insgesamt Aufsichtsmechanismen zur Kontrolle der Einhaltung der Regelungen zu etablieren. Hatten sich in der Folge amerikanische Unternehmen unter dem EU-US Privacy Shield-Abkommen zertifiziert, konnten datenschutzrechtlich Verantwortliche unter der DSGVO Datenübermittlungen an diese amerikanischen Unternehmen datenschutzkonform vornehmen.


Das „Schrems II” und seine Folgen

Mit seinem Urteil vom 16.7.2020 hat der EuGH das EU-US Privacy Shield-Abkommen für unwirksam erklärt. Der EuGH kam zu dem Ergebnis, dass die im EU-US Privacy Shield-Abkommen geregelten Schutzmaßnahmen zu keinem ausreichenden Datenschutzniveau in den USA führen, da den US-Behörden gesetzlich Überwachungsmöglichkeiten eingeräumt werden, die nicht auf das zwingend erforderliche Maß beschränkt sind. Zudem sieht das EU-US Privacy Shield-Abkommen keine dem Unionsrecht gleichwertigen Rechtsschutzmöglichkeiten vor.

 

Mit dem Urteil können unter der DSGVO datenschutzrechtlich Verantwortliche ab sofort Datentransfers zu Verantwortlichen oder Auftragsverarbeitern mit Sitz in den USA, die sich selbst nach dem EU-US Privacy Shield zertifiziert haben, nicht mehr auf die Angemessenheit des Datenschutzniveaus gem. Art. 45 DSGVO berufen.


Verwendung von EU-Standardvertragsklauseln als Alternative

Angemessenheitsbeschlüsse sind nicht die einzige Grundlage, auf der Datentransfers in Drittländer datenschutzkonform unter Geltung der DSGVO durchgeführt werden können. Falls kein Angemessenheitsbeschluss für ein Drittland vorliegt, können Verantwortliche auch andere geeignete Garantien vorsehen, die den betroffenen Personen durchsetzbare Rechte und Rechtsbehelfe zur Verfügung stellen. Solche geeigneten Garantien können auch die sogenannten EU-Standardvertragsklauseln sein. Die Europäische Kommission stellt insgesamt 3 Musterverträge zur Verfügung, die als „EU-Standardvertragsklauseln” bezeichnet werden. Ein Vertrag ist für die Übermittlung an Auftragsverarbeiter im Drittland vorgesehen, die anderen beiden können für die Datenübermittlung zwischen 2 selbstständigen verantwortlichen Stellen eingesetzt werden.


Auch nach dem Schrems II-Urteil und dem Kippen des EU-US Privacy Shield-Abkommens durch den EuGH besteht die Möglichkeit, diese Standsvertragsklauseln zu verwenden. Dies hat der EuGH in seinem Urteil bestätigt.

 

Gegebenenfalls aber Anpassung der Standardvertragsklauseln  erforderlich

Den Standardvertragsklauseln wurde aber kein bedingungsloses „Weiter so!” durch das Gericht bescheinigt. Vielmehr muss im Einzelfall geprüft werden, ob die EU-Standardvertragsklauseln ausreichen, um ein mit der EU vergleichbares Datenschutzniveau sicherzustellen oder ob zusätzliche Maßnahmen ergriffen werden müssen.

 

Dies kann eine Ergänzung der Standardvertragsklauseln notwendig machen. Sicherlich wird bei dieser Prüfung eine Rolle spielen, inwieweit der Datenempfänger in den USA Eingriffsbefugnissen der US-Behörden unterworfen ist, die ihm die Einhaltung der ihm durch die EU-Standardvertragsklauseln auferlegten Verpflichtungen erschweren oder quasi unmöglich machen und welche zusätzlichen Vereinbarungen oder Maßnahmen getroffen werden können, um doch ein ausreichendes Schutzniveau für die exportierten personenbezogenen Daten gewährleisten zu können.

 

 

 

Banner Schloss

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

 Wir beraten Sie gern!

E-Learning
Deutschland Weltweit Search Menu