Europäischer Gerichtshof (EUGH) hebt EU-US Privacy Shield auf – Handlungsbedarf bei Datenübermittlungen in die USA

27.07.2020

von Mag. Johannes Paul
Fachbereich: Datenschutz
 

Nach der Datenschutzgrundverordnung (DSGVO) dürfen rechtmäßig verarbeitete personenbezogene Daten nur dann in ein Drittland, also ein Land außerhalb der Europäischen Union, übermittelt werden, wenn das jeweilige Drittland ein angemessenes Datenschutzniveau bietet. Dies kann auf verschiedene Art und Weise gewährleistet sein.

Die EU – Kommission kann zum Beispiel feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Aufgrund solcher Angemessenheitsbeschlüsse ist die Datenübermittlung etwa in Drittstaaten wie die Schweiz, Israel, Kanada oder Neuseeland zulässig. Bis vor kurzem galt dies auch für die Datenübermittlung aus der EU an Unternehmen mit Sitz in den USA (wie etwa Facebook, Google, Apple oder Microsoft), die sich zur Einhaltung der sogenannten „EU-US Privacy Shield“ Bestimmungen des US – Handelsministeriums durch  Zertifizierung verpflichtet haben.

Mit seiner aktuellen Entscheidung vom 16. 7. 2020, C-311/18 , Facebook Ireland und Schrems, erklärte der EUGH den EU-US-Privacy Shield-Beschluss 2016/1250 der Kommission für ungültig: Vereinfacht gesagt ist nach Ansicht des EUGH das Datenschutzniveau aufgrund der Verpflichtungen, die das Privacy Shield den zertifizierten Unternehmen auferlegt, nicht ausreichend. Grund dafür ist, dass nach US-Amerikanischem Recht die dortigen Behörden auf solche Daten, die aus der EU übermittelt werden, zugreifen und sie verwenden dürfen, wobei diese Ermittlungsbefugnisse nicht – so wie dies nach Europäischem Datenschutzrecht nötig ist – auf das zwingend erforderliche Maß beschränkt sind.

Unternehmen, die Datenübermittlungen in die USA (etwa aufgrund von Konzernstrukturen oder ausgelagerten Verarbeitungen – sogenanntes Outsourcing) vornehmen, und sich bis dato auf das Privacy Shield gestützt haben, haben aufgrund des Risikos von Bußgeldstrafen nun akuten Handlungsbedarf:

Empfohlen wird der kurzfristige Abschluss von sogenannten Standarddatenschutzklauseln mit den US - Empfängerunternehmen. Dabei handelt es sich um Vertragsklauseln, die von der Europäischen Kommission erlassen werden und die konkrete Regelungen für die Datenübermittlung zwischen dem Übermittler und dem Datenempfänger vorsehen.

Langfristig bieten sich weitere nach der DSGVO vorgesehene Mechanismen  an, um die wirtschaftlich äußerst wichtigen Datenübermittlungen in die USA wieder zu ermöglichen.

Im Unternehmensverbund besteht etwa die Möglichkeit von verbindlichen internen Datenschutzvorschriften (sogenannte „Binding Corporate Rules“ - BCR), die von der zuständigen Datenschutzbehörde zu genehmigen sind. Im Rahmen dieser BCR ist der internationale Datentransfer sohin genehmigungsfrei möglich. Zudem können auch individuelle Vereinbarungen zwischen den Unternehmen mit Sitz in der EU und der USA getroffen werden, welche ebenfalls von der zuständigen Datenschutzbehörde genehmigt werden müssen.

 

Dieser Beitrag wurde sorgfältig recherchiert und zusammengestellt.
Eine Haftung für die Richtigkeit wird nicht übernommen.

Europäischer Gerichtshof (EUGH) hebt EU-US Privacy Shield auf – Handlungsbedarf bei Datenübermittlungen in die USA