EuGH kippt EU-US Privacy Shield
« NewsübersichtMit Urteil vom 16.07.2020 hat der Europäische Gerichtshof das EU-US Privacy Shield für ungültig erklärt (C-311/18).
Vorausgegangen war eine Beschwerde des österreichischen Datenschützers, Max Schrems, bei der Irischen Datenschutzbehörde, welche zuständig für die Niederlassung von Facebook in der EU ist, die Facebook Irland. Grundsätzlich findet die Datenverarbeitung aller Facebook Nutzer in der EU über das verantwortliche Unternehmen in Irland statt. Jedoch werden alle Daten auf den Servern der Muttergesellschaft in den USA gespeichert.
Als rechtliche Grundlage wurde dafür bis zum Urteil des EuGH 2015 die für ungültig erklärte sogenannte Safe-Habor Regelung herangezogen. Seit August 2016 galt die informelle Absprache zwischen der EU und den USA, wonach letztere ein dem EU-Datenschutzrecht angemessene Garantien über den Schutz personenbezogener Daten abgegeben, welche von der EU in die USA übertragen werden - das sogenannte EU-US Privacy Shield.
Hierbei wurde jedoch von einigen Datenschützern bezweifelt, ob die von den USA angegebenen Garantien, das Datenschutzniveau der EU zu halten, tatsächlich eingehalten werden können. Hintergrund ist der US Freedom Act, welcher Geheimdiensten, u.a. FBI und NSA, ermöglicht einzig aufgrund eines Verdachtes einer potentiellen Gefahr von Telekommunikationsanbietern umfassend Daten herauszuverlangen.
Die Irische Datenschutzbehörde zog es vor, statt die ordnungsgemäße Einhaltung des Privacy-Shields durch Facebook zu prüfen, die Frage der grundsätzlichen Zulässigkeit des Abkommens dem EuGH zu überlassen.
Für die Praxis hat das Urteil weitreichende Konsequenzen, da nun keine personenbezogenen Daten mehr von der EU in die USA aufgrund des Privacy Shields übertragen werden dürfen.
Als einzige Rechtsgrundlage verbleiben nun noch die sogenannten Standarddatenschutzklauseln (früher: EU-Standartvertragsklauseln) nach Art. 46 Abs. 2 Buchst. c) DSGVO, welche grundsätzlich für die Übermittlung von personenbezogenen Daten in Drittstaaten herangezogen werden können.
Jedes Unternehmen sollte nun gründlich prüfen, wie viele Datenverarbeitungsprozesse eine Übertragung von personenbezogenen Daten in die USA vorsehen. Nach unserer langjährigen Erfahrung betrifft dies insbesondere zahlreiche IT- und insbesondere Software as a service Dienste. Neben den Einstellungen zu MS-Office und zahlreichen Cloud-Anbietern mit Servern in den USA sollten jetzt auch die Social-Media-Kanäle des eigenen Unternehmens überprüft werden.
Anschließend sollte unverzüglich für jede entsprechende Verarbeitungstätigkeit die Anpassung und Verwendung der Standarddatenschutzklauseln erfolgen. Grundsätzlich stellt jede weitergehende Datenübertragung ohne solche Klauseln einen Datenschutzverstoß dar. Es drohen somit Bußgelder.
