EuGH Urteil vom 17.7.2020 kippt das EU-US Privacy Shield – was ist zu tun?

Carola Sieling im c't Podcast Auslegungssache: Thema privacy shield
Carola Sieling im c’t Podcast Auslegungssache: Thema privacy shield

Wie lässt sich der Export von Daten nun überhaupt noch datenschutzrechtlich legitimieren? Dieser Frage gehen Joerg Heidrich und Holger Bleich vom c’t Datenschutz Podcast „Auslegungssache“ zusammen mit Carola Sieling nach. Auf einige Unternehmen dürfte jetzt eine Menge Arbeit zukommen. Im Podcast erläutert sie, was es mit den sogenannten Standardschutzklauseln auf sich hat, die erst einmal (wieder) als Alternative zum Privacy Shield zum Einsatz kommen werden.

Hier hören Sie den Podcast in voller Länge. Der Podcast ist darüber hinaus u.a. auch auf iTunes und Spotify abrufbar.

Viele Unternehmen nutzen die Dienste / Tools von U.S. amerikanischen Unternehmen und ermöglichen diesen so Zugriff auf personenbezogene Daten von Kunden, Mitarbeitern, Lieferanten etc. Diese Dienste sind meist so fest im Unternehmensalltag verankert, dass ein Austausch oder Umsatteln auf europäische Dienste aus unterschiedlichen Gründen nicht so einfach möglich ist, weil dies zum Beispiel mit verhältnismäßig hohen Aufwänden verbunden wäre oder es an adäquaten Alternativen schlicht und einfach mangelt.

Aufgrund datenschutzrechtlicher Anforderungen können personenbezogene Daten ab dem 16.07.2020 jedoch aufgrund des am 16.7.2020 gefällten Urteils des EuGH nicht mehr auf Basis des EU-U.S. Privacy Shields an Empfänger in die Vereinigten Staaten übermittelt werden. Der EuGH hat das häufig in der Praxis verwendete EU-U.S. Privacy Shield als Nachfolgeregelung für das Safe Harbor Abkommen für ungültig erklärt.

Wir haben deswegen einen ersten konkreten Maßnahmenplan für Unternehmen erstellt, der die Auswirkungen des Urteils auf das eigene Unternehmen spezifizieren helfen soll sowie die derzeit vorliegenden Stellungnahmen der dt. Aufsichtsbehörden zu dem Urteil für Sie gesammelt. (wird regelmäßig ergänzt)

Was ist grundsätzlich zu beachten, wenn personenbezogene Daten in ein sog. Drittland übermittelt werden?

Zur diesbezüglich in der DSGVO geregelten Systematik können wir Ihnen zur Einführung das sehr informative und strukturierte Kurzpapier Nr. 4 „Datenübermittlung in Drittländer“ der Datenschutzkonferenz empfehlen. 

Was hat der EuGH genau entschieden?

Mit Urteil vom 16.07.2020 (dt. Fassung Az: C‑311/18 / Pressemitteilung) hat der EuGH über die Zulässigkeit der EU-Standardvertragsklauseln „Controller-to-Processor“ (2010/87/EU) sowie über den Angemessenheitsbeschluss der EU-Kommission zum EU-U.S. Privacy Shield (Durchführungsbeschluss (EU) 2016/1250) entschieden.

Der Grund für die Verwerfung des EU-U.S. Privacy Shields sind mögliche Zugriffe auf personenbezogene Daten von EU-Bürgern durch US-amerikanische Sicherheitsbehörden. Dies stünde nicht im Einklang mit den Grundrechten der EU-Bürger. EU-Bürgern stünden zudem keine ausreichenden Rechtsschutzmöglichkeiten vor den US-Gerichten zur Verfügung. Die EU-Standardvertragsklauseln hingegen bleiben allerdings gültig. Ergeben sich jedoch Hinweise für den Datenexporteur, dass die vereinbarten Standardvertragsklauseln aufgrund der Gesetze im Drittland nicht eingehalten werden können, besteht weitergehender Handlungsbedarf.

Für Unternehmen löst diese Entscheidung akuten Handlungsbedarf aus:

1. Identifizierung der betroffenen Datentransfers nach U.S.

2. Klärung, aufgrund welcher Rechtsgrundlage dies bisher geschah (dokumentierte Verträge)

3. Auf diesem Ergebnis (Ziffer 1. und 2.) basierend dann Prüfung im Einzelnen, welche Maßnahmen erforderlich/möglich sind, um weiterhin Daten exportieren zu können, z.B.:

4. Informationen identifizieren, die einen Hinweis auf das EU-U.S. Privacy Shield enthalten und korrigieren bzw. ergänzen, z.B.: 

5. Neubewertung und Ergänzungen zu Datenschutzfolgeabschätzungen gem. Art. 35 DSGVO, auf die das Urteil Auswirkungen haben könnte 

6. Verfolgen der weiteren Diskussionen, Stellungnahmen und Reaktionen der Datenschutzaufsichtsbehörden sowie der EU-Kommission. 

Die EU-Kommission hat bereits mitgeteilt, an aktualisierten Vertragsklauseln sowie an einer politischen Lösung mit den USA zu arbeiten. 

Gern sind wir diesbezüglich behilflich!

Stellungnahmen der dt. Aufsichtsbehörden zum EuGH-Urteil in Sachen Schrems II 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit:

European Data Protection Board

Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems

Datenschutzkonferenz

Pressemitteilung Datenschutzkonferenz

Datenschutzaufsichtsbehörden der Länder

Verwandte Beiträge