Home
Intern
zuletzt aktualisiert am 17. Juli 2020 | Lesedauer ca. 2 Minuten
Der EuGH hat das EU-US-Privacy Shield für unwirksam erklärt (C-311/18 – „Schrems II”). Das bedeutet, dass alle Datentransfers in die USA, die alleine auf diesem internationalen Abkommen beruhen, mit sofortiger Wirkung ohne rechtliche Grundlage stattfinden. Aber auch Datentransfers, die auf sog. „Standardvertragsklauseln” beruhen, sind keineswegs ein rechtlich sicherer Weg. Um Sanktionen zu vermeiden, ist nun entschlossenes, zügiges und v.a. sachverständiges Handeln gefragt.
Betroffen sind alle Unternehmen, die Datentransfers in die USA vornehmen. Das erfolgt zumeist bei der Inanspruchnahme von Dienstleistern, die ihre technische Infrastruktur oder Teile davon in den USA vorhalten. Hierzu gehören Unternehmen wie Microsoft, Facebook, Google, Amazon ebenso wie mittelständische Dienste und Dienstleister. Andere Fälle betreffen Konzerne, die Tochtergesellschaften oder andere Unternehmensteile in den USA unterhalten und aufgrund dessen Daten in die USA übermitteln.
Zusammengefasst bedeutet das: Es dürfte so gut wie kein inländisches Unternehmen geben, das von dem Urteil nicht betroffen ist.
Transfers von Daten in Drittländer unterliegen den Anforderungen des Kapitels V der Datenschutz-Grundverordnung (DS-GVO). Demnach dürfen personenbezogene Daten nur dann in Drittländer übermittelt werden, wenn ein Angemessenheitsbeschluss der Kommission (Art. 45 DS-GVO) oder andere geeignete Garantien (Art. 46 DS-GVO) bzw. sog. interne Verhaltensregeln (Art. 47 DS-GVO) einen rechtskonformen Umgang mit diesen Daten auch im Drittland sicherstellen.
Ursprünglich hatte die Kommission auf Basis zwischenstaatlicher Vereinbarungen (Privacy Shield) einen Angemessenheitsbeschluss erlassen, der die Übermittlung personenbezogener Daten in die USA so lange ermöglichte, solange der Empfänger der Daten eine Zertifizierung nach den Bestimmungen des Abkommens unterhielt.
Nach der Entscheidung des EuGH ist diese Praxis hinfällig (Urteilsgründe sind hier abrufbar). Alle Datenübermittlungen auf Grundlage des EU-US-Privacy Shields müssen nunmehr auf eine andere Grundlage gestellt werden. Dabei kann (noch) auf die durch den EuGH zunächst bestätigten Standardvertragsklauseln (Übersicht des Hessischen BfDI) zurückgegriffen werden. Aber mittelfristig muss damit gerechnet werden, dass auch Standardvertragsklauseln keine geeignete Grundlage für Datentransfers in die USA sein werden.
Vor dem Hintergrund der EuGH-Entscheidung ist jedem Unternehmen zu raten
Perspektivisch ist zu empfehlen, ein System zur rechtlichen Absicherung von Datenübermittlungen in Drittländer zu implementieren. Das kann z.B. in der Errichtung eines Konzernrahmenvertrages zur Auftragsdatenverarbeitung oder in der Erstellung und Genehmigung interner Verhaltensregeln (sog. Binding Corporate Rules, kurz BCR) liegen.
Es ist zudem daran zu denken, dass das EuGH-Urteil in vielen Fällen dazu führen wird, dass Dienstleister die zuvor angebotenen Dienste nicht oder nicht mehr wie geschuldet erbringen können. Das kann zur Kündbarkeit selbst langfristiger Vereinbarungen führen. Dienstanbieter müssen das ebenfalls dringend prüfen, um die Kündbarkeit langfristiger Vereinbarungen zu vermeiden.
Nicht nur für Unternehmen mit datengetriebenen Geschäftsmodellen stellt die Entscheidung des EuGH eine erhebliche Herausforderung dar. Nicht zu unterschätzen ist das rechtliche Risiko zugleich für Kunden dieser Unternehmen. Alle am internationalen Datenverkehr Beteiligten werden ihren Umgang mit personenbezogenen Daten auf den rechtlichen Prüfstand stellen müssen. Insbesondere die Zusammenarbeit mit US-amerikanischen IT-Dienstleistern sollte umgehend überprüft werden. Das gilt generell, aber ganz besonders dann, wenn sie bislang auf Basis des EU-US-Privacy Shield abgewickelt wurde.
Frank Fischer
Rechtsanwalt, Fachanwalt Urheber- und Medienrecht
Associate Partner
Anfrage senden
Profil
IT-Recht
