EU-US Privacy Shield durch EuGH gekippt

“EU-US Privacy Shield“ durch EuGH gekippt

Dass das EuGH mit seinem Urteil das EU-US Privacy Shield gekippt hat, hat weitreichende Konsequenzen insbesondere für Datentransfer nach USA:

Betroffen sind z.B. alle Apps, Softwareprogramme und Dienstleister mit Speicherort USA oder Fernwartung aus USA!

Der Europäische Gerichtshof hat das Datenschutzabkommen “Privacy Shield” für ungültig erklärt. Nur noch unter bestimmten Bedingungen ist die Übertragung von Nutzerdaten von EU-Bürgern ins Ausland  weiterhin erlaubt, entschieden die Richter des EuGH.

Der Europäische Gerichtshof (EuGH) hat die EU-US-Datenschutzvereinbarung “Privacy Shield” gekippt. Ein Datentransfer in andere Staaten auf Basis sogenannter Standardvertragsklauseln sei zwar weiterhin zulässig, so der EuGH. Voraussetzung dafür sei aber ein gleichwertiges Niveau an Datenschutz in den USA. Und genau das sieht der EuGH in seinem Urteil nicht.

Bereits vor Jahren fand das Thema seinen Anfang durch eine Beschwerde des österreichischen Juristen Max Schrems. Der Aktivist hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA übermittelt. Rechtliche Basis war damals das sog. „Safe-Harbour“ Abkommen, welches aus Sicht von Schrems keine hinreichende Garantien bot. Er begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen – ohne dass Betroffene dagegen vorgehen könnten. Das Abkommen wurde damals, ebenfalls vor dem EuGH gekippt und durch den „Privacy-Shield“ ersetzt. Kritiker bezeichneten damals bereits den Privacy-Shield als „Alter Wein in neuen Schläuchen“, da die Rechte der EU-Bürger auch damit nicht gewahrt werden. Schon da war vorgezeichnet, dass der Privacy Shield als neue Rechtsgrundlage für Datenübermittlung also auch nur bedingt taugt und bei einer erneuten Prüfung vom Europäischen Gerichtshof gekippt werden könnte.

 

Die Richter des EuGH erklärten nun also das “Privacy Shield” auch für ungültig. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Sie beanstandeten dagegen nicht, die als alternative Rechtsgrundlage auch verwendeten „EU-Standardvertragsklauseln“ (auch European Standard Contractual Clauses oder EU-SCC’s). Diese sollen im Kern Garantien dafür bieten, dass die Daten von EU-Bürgern auch bei einer Übermittlung aus der EU ins Ausland, insbesondere in jegliche unsichere Drittstaaten angemessen geschützt sind. Das “Privacy Shield” ist ein weiterer Kanal, der ausschließlich für den Datentransfer in die USA zur Verfügung steht.

 

Was bedeutet der Wegfall des EU-US Privacy Shield nun für Unternehmen?

Durch den Wegfall des EU-US Privacy Shield entfällt für zahlreiche Anwendungen die ordnungsgemäße Rechtsgrundlage, falls diese auf der Tatsache beruhten, dass der US-Dienstleister sich nur nach diesem Standard zertifiziert hatte. Dazu reichte es bisher aus, dass der in USA ansässige IT-Dienstleister, Softwareanbieter oder Rechenzentrumsdienstleister in der öffentlichen Privacyshield List aufgeführt und für normale Daten (non-HR) oder Personaldaten (HR) zertifiziert war. In den entsprechenden Verarbeitungstätigkeiten im Datenschutzmanagementsystem war dies die ausreichend zu dokumentierende Rechtsgrundlage.

Dies entfällt nun! All diese betroffenen Anwendungen oder Vorgänge, die sich auf diese Rechtsgrundlage verließen, haben mit Rechtskraft dieses Urteils keinen hinreichenden Erlaubnistatbestand. Die Nutzung ist somit verboten. Bei einer weiteren Nutzung besteht für all diese Szenarien, erstmal ein Bußgeldtatbestand, weil gegen die DSGVO verstoßen wird. Dies betrifft mit großer Sicherheit tausende Anwendungsszenarien.

Da als Alternative nach wie vor Standardvertragsklauseln akzeptiert werden, gilt es zu prüfen, ob der US-Anbieter solche zur Verfügung stellt oder diese mit ihm abgeschlossen werden kann. Als positives Beispiel dient uns hier tatsächlich Microsoft: Denn obwohl die Microsoft Corp. als IT-Unternehmen in der Privacy Shield Liste für HR und Non-HR Daten längst gelistet war, bot es für deutsche Kunden z.B. von Office 365 bereits einwandfreie, an die Licence-Terms angegliederte Standardvertragsklauseln an. Auf die Nutzung dieser Dienste dürfte das EuGH Urteil also erstmal keinen Einfluss haben. 

Aber auch für konzerninterne Datenübertragung in die USA, die sich bisher auf den Privacy Shield gestützt haben besteht Handlungsbedarf! Es  Diese Standardvertragsklauseln bereits abgeschlossen sein oder schnellstmöglich nachgeholt werden, ansonsten droht Bußgeld.

Wichtig: Falls Sie einen externen DSB bei uns beauftragt haben, prüfen wir sukzessive alle entsprechenden Verarbeitungstätigkeiten und informieren Sie ggf.!

Sie haben keinen Datenschutzbeauftragten bei uns bestellt, brauchen aber dennoch kompetente Beratung, damit Ihr Unternehmen weiterhin rechtskonform agieren kann? 
Wir sind gerne für Sie da! Kontaktieren Sie uns einfach.