Von Günter Jobst

Mit dem EU-U.S. Privacy Shield hat der Europäische Gerichtshof (EuGH) nach Safe Harbor nun bereits den zweiten Datenschutz-Deal zwischen der EU-Kommission  und den USA gekippt. Die Übermittlung personenbezogener Daten in die USA und andere Drittstaaten (also außerhalb der EU bzw. des EWR) bleibt jedoch weiterhin möglich, sofern Standardvertragsklauseln (Standard Contractual Clauses, SCC) zwischen den beteiligten Unternehmen bzw. Organisationen abgeschlossen werden.

„Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet.“


Quelle: „Pressemitteilung des EuGH Nr. 91/20 vom 16.07.2020“

Die Veränderungen im Bereich des Datenschutz gehen weiter voran und ein Ende ist noch nicht abzusehen. Das nächste Urteil des Eu-GH kippt bereits das zweite Abkommen zwischen der EU und den USA.

Der EuGH hat mit seinem Urteil vom 16.07.2020 den Eu-U.S. Privacy-Shield Beschluss für ungültig erklärt. Ein angemessenes Schutzniveau kann darüber nicht sichergestellt werden, so die Urteilsbegründung des EuGH. Die Übermittlung personenbezogener Daten in die USA kann somit nicht mehr auf diesen Beschluss begründet werden.   

Hintergrund

Hintergrund des Urteils war eine Beschwerde des österreichischen Datenschutzaktivisten Max Schrems hinsichtlich der Übermittlung seiner Daten von Facebook Irland an den US-amerikanischen Mutterkonzern.

Die DSGVO gilt nicht nur für die Verarbeitung von personenbezogenen Daten innerhalb der EU, sondern auch über deren Grenzen hinweg. Drittstatten haben sicherzustellen, dass bei der Verarbeitung von personenbezogenen Daten von EU-Bürgern ein der DSGVO entsprechendes Schutzniveau erreicht und sichergestellt wird.

Die daraus resultierenden Anforderungen können auf verschiedenen Wegen erreicht werden. Zum einen können die Vertragspartner sogenannte Standard Contractual Clauses (SCC) vereinbaren, die den Umgang mit personenbezogenen Daten und das Schutzniveau regeln. Zum anderen kann die EU-Kommission per Beschluss das angemessene Datenschutzniveau in einem Drittland feststellen. 

Entscheidung

Mit dem Urteil vom 16.07.2020 stellt der Gerichtshof fest, dass die Prüfung der Standardvertragsklauseln (Standard Contractual Clauses, SCC) anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was die Gültigkeit berühren könnte.

Den Beschluss zum Privacy Shield erklärt das EuGH hingegen für ungültig.

Erläuterung

Die DSGVO findet auch dann Anwendung, wenn personenbezogene Daten durch ein, in einem Mitgliedsstaat ansässigen, Unternehmen an ein Unternehmen in einem Drittland übertragen werden.

Selbst eine Datenverarbeitung der personenbezogenen Daten durch ein Drittland auf Grundlage der Landessicherheit, öffentlichen Ordnung oder Landesverteidigung kann nicht dazu führen, dass der Anwendungsbereich der DSGVO ausgenommen werden kann.

Das Schutzniveau der Daten und die Durchsetzbarkeit, der in der DSGVO aufgeführten Betroffenenrechte, muss gewährleistet werden.

Standard Contractual Clauses, SCC

Bei der Beurteilung des Schutzniveaus sind zum einen die vertraglichen Regelungen zwischen dem Datenexporteur und dem Datenimporteur zu berücksichtigen (SCC) sowie die etwaigen Zugriffsrechte der Behörden des Drittlandes. 

Kommen die nationalen Aufsichtsbehörden zu dem Ergebnis, dass die SCC im Drittland nicht eingehalten werden oder werden können, muss eine Übermittlung personenbezogener Daten in das Drittland verboten oder ausgesetzt werden.

Die SCC bleiben also bestehen und liefern eine Möglichkeit für den Datenaustausch in ein Drittland. Allerdings liegt es in der Verantwortung der Vertragspartner, dass vereinbarte Regelwerk (SCC) sicherzustellen. Bei Verstößen haften die Vertragspartner gemeinschaftlich.

Privacy-Shield

Das EuGH hat zudem die Gültigkeit des EU-U.S. Privacy Shield Beschlusses geprüft und kommt zu dem Ergebnis, dass der nationalen Rechtsprechung in den USA Vorrang gegenüber den Datenschutzrechten eingeräumt wird. Die Betroffenen haben keine Möglichkeit Ihre Rechte auf Grundlage der DSGVO gegenüber dem US-Rechtsystem geltend zu machen.

Der EuGH erklärt somit, nach dem Safe-Harbor auch den EU-U.S. Privacy Shield Beschluss 2016/1250 für ungültig.

Ergebnis

Das Urteil des EuGH hat weitreichende Folgen und Auswirkungen auf die Verwendung von Cloud-Diensten, Social Media Plattformen, Hosting-Dienstleistern, Webanalyse- und Trackingdienste, etc.

Folge

Viele EU-Unternehmen werden alternative Möglichketen suchen, um mögliche Abmahnungen und Bußgelder aufgrund von Datenschutzverstößen zu vermeiden. Lokale oder EU-Anbieter liefern adäquate Lösungen für eine datenschutzkonforme Verarbeitung personenbezogener Daten.

guenter datenschutzexperte |

Die USA befinden sich gegenüber der EU wieder im Status wie andere Drittstaaten.

Günter Jobst, Datenschutzexperte bei WiredMinds

Was bedeutet das für WiredMinds & LeadLab

WiredMinds liefert mit seinem Produkt LeadLab eine datenschutzkonforme Lösung für eine effektive Reichweitenmessung und den digitalen Push für Vertrieb und Marketing. Wie verarbeiten Ihre Daten in Ihrem Auftrag für Ihre Webseite innerhalb Deutschlands. Die Zustimmung des Websitebesuchers wird nicht benötigt. Cookies ebenfalls nicht.

|

Günter Jobst

ist Datenschutzkoordinator und IT Consultant. Der Schutz personenbezoger Daten lag ihm schon immer am Herzen. Bislang konnte er jedem unserer Kunden mit seinem fundierten Wissen weiterhelfen. An Bord der WiredMinds ist er seit 2016.

Günter Jobst auf Xing

Quellen

https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
https://www.activemind.de/magazin/eugh-privacy-shield/
https://www.haendlerbund.de/de/news/aktuelles/rechtliches/3475-eugh-urteil-datenuebermittlung-usa-privacy-shield