Auswirkungen des EuGH-Urteils C-311/18 „Schremps II“ vom 16.Juli mit weitreichenden Folgen

Das Privacy Shield ist eine Absprache der EU mit den USA im Bereich des Datenschutzes und regelt über Zusicherungen der USA und eines Angemessenheitsbeschlusses der EU, dass das Datenschutzniveau in den USA, dem der EU entspricht.

Aufgrund eines Rechtsstreits zwischen dem österreichischen Juristen Maximilian Schremps und der irischen Datenschutzbehörde über Behandlung von Nutzerdaten auf Facebook, ist das Privacy Shield vom EuGH für ungültig erklärt worden.

Mit weitreichenden Folgen

Die DSGVO erlaubt im Kapitel 5 die Übermittlung personenbezogener Daten an Drittländer (Drittländer sind Länder Außerhalb der EU) oder an internationale Organisationen nur unter bestimmten Voraussetzungen.

Eine dieser Voraussetzung ist der sogenannte Angemessenheitsbeschluss nach Art. 45. Abs.3 DSGVO. Dieser ist im Bezug auf die USA nun nicht mehr gegeben, sodass Übermittlungen personenbezogener Daten in die USA, die sich auf das Privacy Shield stützen, nun mit sofortiger Wirkung unzulässig sind.

Weiterhin erlaubt bleiben Übermittlungen, die sich auf die sogenannten Standardvertragsklauseln lt. Art. 46 Abs. 2 lit. c) stützen. Diese müssen jedoch individuell mit jedem Unternehmen, das die Daten empfängt, in der Regeln der Auftragsverarbeiter, vereinbart werden.

Die Übermittlung aufgrund von Standardvertragsklauseln nach Art. 46 Abs. 2 lit. d) DSGVO beinhalten eine vorgefertigte Vereinbarung. Diese darf nur unverändert genutzt werden.  In der FAQ als Stellungnahme der EDSA wird im Zusammenhang mit den Standardvertragsklauseln aber auch darauf hingewiesen, dass es einer Einzelfallprüfung bedarf, um auszuschließen, dass Behörden der USA Durchgriffsrechte auf die Daten durchsetzen können. Zu diesem Schluss kommt auch die DSK in Ihrer Pressemitteilung vom 28.07.2020: „Nach dem Urteil des EuGH reichen bei  Datenübermittlungen  in  die  USA  Standardvertragsklauseln  ohne  zusätzliche  Maßnahmen grundsätzlich nicht aus.“

In diesem Zusammenhang muss auch der Cloud Act (Clarifying Lawful Overseas Use of Data Act) der US-Regierung beachtet werden. Dieser gibt der US-Regierung das Recht, von Firmen mit Sitz in den USA die Herausgabe von Daten zu fordern, auch wenn diese außerhalb der USA gespeichert wurden, wie z.B. in einem Rechenzentrum innerhalb der EU und der Datenübermittlung z.B. über Internetleitungen in den USA.

Da der Cloud Act und, wie Juristen berichten, weitere Gesetze der USA eine Vereinbarung per Standardvertragsklauseln unterlaufen und ein geeignetes Schutzniveau der Daten nach Kapitel 5 DSGVO nicht gewährleistet werden kann,  ist eine Übermittlung von personenbezogenen Daten in die USA ab sofort einzustellen.

Welche Verarbeitungen können konkret betroffen sein?

Generell alle Verarbeitung, die auf einem Dienst eines Unternehmens mit Sitz in der USA basieren, wie z.B.

  • Microsoft Cloud Dienst
  • Google Cloud Dienste
  • Dropbox Cloud Dienste
  • Facebook
  • Whatsapp
  • Instagram
  • Amazon
  • Apple

Was sagen die Behörden?

Der Europäische Datenausschuss hat am 23. Juli ein Schreiben mit FAQs veröffentlicht und die Deutsche Datenschutzkonferenz (DSK) befürwortet diese Positionierung.

Ein Interessantes Interview mit dem Landesdatenschutzbeauftragten von Baden-Württemberg, Stefan Brink ist in der badischen Zeitung erschienen. Aussage daraus: „Ich werde keine Alleingänge machen“. Demnach wird es hoffentlich ein konzertiertes Werk mit praktischen Handlungsempfehlungen von den deutschen Aufsichtsbehörden geben.

Was heißt das nun in der Praxis?

  1. Die Übermittlung von personenbezogenen Daten an die USA ist sofort einzustellen
  2. Alle Verträge mit Unternehmen in den USA müssen überprüft werden und ggf. eine Vereinbarung auf Basis der Standardvertragsklauseln getroffen werden.
  3. Es muss von Fall zu Fall geprüft werden, ob der Datentransfer und der Verarbeitung auf dem gleichen Schutzniveau liegen, wie in der EU.
  4. Eine Übermittlung der Daten weiterhin auch im Falle einer Ausnahme lt. Art. 49. Abs. 1 DSGVO möglich.
  5. Datenschutzerklärungen müssen überarbeitet werden
  6. Überprüfung der Inhalte von Websites

 Links:

Andreas Rößling

Datenschutzbeauftragter

Weitere Artikel

Artikel teilen