EuGH Urteil: „Privacy Shield“ gilt nicht mehr, Alternativen gesucht!

In einer seiner jüngsten Entscheidungen erklärte der Europäische Gerichtshofs (EuGH) den zwischen der EU und den USA vereinbarten Privacy Shield für unwirksam. Damit entfällt eine oftmals genutzte Grundlage für den transatlantischen Daten-Austausch. Unternehmen sollten nunmehr genau prüfen, welche Daten auf welcher Grundlage in den USA gespeichert werden.

Köln, 22.07.2020 - Der EuGH hat im sogenannten „Schrems II“-Urteil den Beschluss der EU-Kommission zum „Privacy Shield“ als Grundlage für eine Datenverarbeitung in den USA für unwirksam erklärt. 

Vieles bleibt nach dem Urteil unklar. Eindeutig ist, dass eine Übermittlung von Daten in die USA lediglich auf Grundlage des Privacy Shields ab sofort rechtswidrig ist. Fraglich ist aber, was die Alternativen sind?

In einer seiner jüngsten Entscheidungen erklärte der Europäische Gerichtshofs den zwischen der EU und den USA vereinbarten Privacy Shield für unwirksam. Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Eine solche Übermittlung liegt z.B. bereits dann vor, wenn Daten (auch) auf Servern in den USA gespeichert werden.

Nach der DSGVO kann die EU Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Ein solcher Angemessenheitsbeschluss ist auch der sogenannte „Privacy Shield“, der vom EuGH nun für unwirksam erklärt wurde. Der EuGH sah insbesondere keinen ausreichenden Schutz für die personenbezogen Daten vor dem Zugriff durch US Behörden.    

Statt auf Grundlage eines solchen Angemessenheitsbeschlusses darf eine Datenübermittlung auch erfolgen, wenn vertraglich geeignete Garantien vereinbart werden. Hierzu können u.a. von der EU Kommission erarbeiteten Standarddatenschutzklauseln genutzt werden, was in der Praxis auch vielfach geschieht. Der EuGH hat diese Klauseln auch ausdrücklich nicht für unwirksam erklärt.    

Die Hürden sind aber dennoch hoch. Zwar bleiben die vorgenannten Standardvertragsklauseln grundsätzlich wirksam, nach den Vorgaben des EuGHs ist aber eine Einzelfallprüfung erforderlich. Jedes Unternehmen müsste also bei der Nutzung von Software eines US Unternehmens prüfen, ob bei der konkreten Datenverarbeitung durch das US Unternehmen ein angemessenes Schutzniveau gewährleistet ist. Insbesondere sollten die Standardvertragsklauseln sicherstellen, dass die übermittelten Daten vor einem Zugriff von US-Behörden geschützt sind. Welche konkreten Maßstäbe an eine solche Prüfung zu stellen sind, lässt der EuGH im Unklaren.

Unternehmen, die z.B. Software von Microsoft oder Apple nutzen, sind zudem regelmäßig nicht in der Position, Vertragsklauseln vorzuschlagen, vielmehr müssen Sie die vom Softwareanbieter vorgeschlagen Klauseln akzeptieren. Auch ist eine Einzelfallprüfung für viele kleine und mittelständische Unternehmen kaum zu leisten, da diese keinen Einblick in die Datenverarbeitung bei den Softwareunternehmen haben. Ein Verzicht auf die Nutzung von z.B. Microsoft kommt nicht in Betracht. Inwieweit andere Rechtsgrundlagen aus der DSGVO z.B. die Ausnahmeregelung des Art. 49 Abs. 1 lit. b) oder lit. c) als Grundlage für die Übermittlung dienen können, wird sehr kontrovers diskutiert.            

Der MITTELSTANDSVERBUND und die ServiCon werden das Thema weiterhin begleiten, um Lösungsansätze für die Praxis zu finden. Die ServiCon wird, sobald konkrete Lösungsansätze erkennbar sind, ein Webinar zu diesem Thema anbieten.  

Seite drucken

Ansprechpartner

Kristian FranzServiCon Service & Consult
Kristian Franz Syndikusrechtsanwalt Mehr Infos
ServiCon Service & Consult
E-Mail schreiben
Zurück zur Übersicht