Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Privacy Shield und Transfer außerhalb der EU – Was sich ändert

PrintMailRate-it
veröffentlicht am 15. Dezember 2020 / Lesedauer ca. 2 Minuten
 

Mit dem Urteil vom 16. Juli 2020 erklärte der Gerichtshof der Europäischen Union (EuGH) den EU-Durchführungsbeschluss 2016/1250 der Kommission über die Ange­messenheit des sog. „Privacy Shield” für ungültig. Das Privacy Shield ist ein Rechts­instrument, das bis vor wenigen Monaten den Transfer von persönlichen Daten aus der Europäischen Union (EU) in die USA erlaubte. Das Urteil ergeht fünf Jahre nach der Entscheidung, mit der der Vorgänger des Privacy Shields, der „Safe Harbor”, außer Kraft gesetzt wurde.

  

  

Insbesondere hat die gegenständliche Entscheidung

  • das EU-US-Datenschutzschild für nichtig erklärt und damit die Rechtswidrigkeit jeglicher Datenüber­mittlung in die Vereinigten Staaten festgestellt;
  • die anderen alternativen Rechtsgrundlagen der Artikel 46, 47 und 49 der DSGVO, die die Übermittlung personenbezogener Daten in Länder außerhalb der EU zulassen (einschließlich der Binding Corporate Rules, der Zustimmung und des berechtigten Interesses), unverändert gelassen;
  • die Gültigkeit der von der Europäischen Kommission angenommenen Standardvertragsklauseln (Standard Contractual Clauses, kurz: SCC) bestätigt.

 

SCC sind das bei Weitem am häufigsten verwendete Instrument zur Rechtfertigung grenzüberschreitender Übermittlungen. Daher hat der EuGH hervorgehoben, wie SCC ein geeignetes Instrument darstellen könnten – unter der Voraussetzung, dass Drittländer, die die Daten empfangen, ein Schutzniveau garantieren, das "im Wesentlichen gleichwertig" mit dem in der EU vorgesehenen ist. Es gilt:

 

„[…] in der Union ansässige Verantwortliche und der Empfänger der Übermittlung personenbezogener Daten [sind] verpflichtet, vorab zu prüfen, ob im betreffenden Drittland das unionsrechtlich geforderte Schutzniveau eingehalten wird. Der Empfänger der Übermittlung ist verpflichtet, dem Verantwortlichen mitzuteilen, dass er
die Klauseln nicht einhalten kann, woraufhin der Verantwortliche die Datenübermittlung aussetzen und/oder vom Vertrag zurücktreten muss.“

 

Das bedeutet, dass der Annahme der Standarddatenschutzklauseln eine Prüfung des Schutzniveaus, das den Betroffenen durch die nationale Gesetzgebung geboten wird, vorausgehen muss und dass, wenn dieser Schutz nicht dem der Europäischen Union entspricht – wie das in den Vereinigten Staaten der Fall ist – die Standarddatenschutzklauseln die Übertragung nicht zulassen können.

 

Das gegenständliche Urteil hat zu einer Situation ernsthafter Unsicherheit für Unternehmen geführt, die keine Daten mehr in die USA (oder andere Staaten außerhalb der EU) übermitteln könnten, selbst wenn sie Standardvertragsklauseln oder alternative Rechtsgrundlagen annehmen.

 
Wie können sich Organisationen bei sonstiger Androhung einer Unterbrechung ihrer Geschäftstätigkeit schützen? Das ist v.a. bei internationalen Konzernen und multinationalen Unternehmen relevant, die Daten in die USA und außerhalb der EU übermitteln müssen und diese Verarbeitung nicht aussetzen können. Bis zur Klärung durch die EU sollten die Organisationen  –  auch zur Vermeidung von Sanktionen von bis zu 4 Prozent des globalen Gesamtumsatzes gem. Art.  83  DSGVO:

  • die Subjekte überprüfen, denen sie personenbezogene Daten übermitteln (sowohl Auftragsverarbeiter als auch Verantwortliche);
  • die Notwendigkeit jeder Übermittlung überprüfen und sie aussetzen, falls sie nicht unerlässlich ist;
  • die notwendige Übermittlung mit einer angemessenen Prüfung der nationalen Gesetzgebung rechtfertigen  – und zwar mithilfe von Fragebögen zur Zuordnung von Lieferanten / Partnern und einer Folgenabschätzung zur Datenübermittlung (DTIA);
  • ihre internen Dokumente vom Drittpartei-Verfahren bis zur DTIA und den Datenschutzklauseln aktualisieren.

 

Die Instrumente können das Risiko von Sanktionen für Datenübermittlungen in Länder, wie etwa in die USA, nicht vollständig ausschließen: Eine genaue Rechtfertigung der Notwendigkeit der Verarbeitung und eine gründliche Bewertung der Übermittlung können aber dazu beitragen, das Risiko zumindest zu minimieren.
Bis dahin ist zu hoffen, dass Europa den Organisationen rasch tragfähige Lösungen anbieten wird, wie es das bereits geschah, als der „Safe Harbour” aufgehoben wurde.

Deutschland Weltweit Search Menu