Privacy Shield ist keine geeignete Garantie mehr für die Übertragung personenbezogener Daten in die USA – Datenschutzbehörden sollen lokale Umsetzbarkeit von Standardvertragsklauseln prüfen
In seinem heutigen „Schrems II“-Urteil hat der EuGH den Beschluss 2016/1250 über die Angemessenheit des EU-US-Datenschutzschild („Privacy Shield“) gebotenen Schutzes aufgehoben. Der Beschluss 2010/87 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern bleibt gültig. Aufsichtsbehörden sind jedoch verpflichtet zu prüfen, inwieweit die Klauseln in Drittländern eingehalten werden können.
Nach den Art. 44 ff. DS-GVO sind Datenübermittlungen an Empfänger außerhalb des Europäischen Wirtschaftsraums nur zulässig, wenn beim Empfänger ein der EU vergleichbares Datenschutzniveau sichergestellt ist. Durch Angemessenheitsbeschlüsse nach Art. 45 DS-GVO kann die EU-Kommission dies für ganze Jurisdiktionen zertifizieren. Wo kein Angemessenheitsbeschluss besteht, können Übermittler und Empfänger so genannte „EU-Standardvertragsklauseln“ vereinbaren, durch die sich der Empfänger zu einem angemessenen Datenschutz verpflichtet.
Bei dem Beschluss 2016/1250 zum Privacy Shield handelt es sich um einen Angemessenheitsbeschluss. US-Unternehmen, die auf https://www.privacyshield.gov/list gelistet sind, dürfen damit personenbezogene Daten aus der EU empfangen, ohne weitere Garantien wie beispielsweise EU-Standardvertragsklauseln implementieren zu müssen.
Datenübermittlungen an Empfänger in den USA, die sich ausschließlich auf dieses Abkommen stützten, erfüllen nun nicht mehr die Voraussetzungen für einen rechtmäßigen Datentransfer und müssen ausgesetzt werden.
Ein Rückgriff auf Standardvertragsklauseln ist möglich; der EuGH hat die Rechtmäßigkeit der Standardvertragsklauseln für die Übermittlung an Auftragsverarbeiter in Drittländern bestätigt. Aufsichtsbehörden haben jedoch die Pflicht, Datenübermittlungen auszusetzen oder zu verbieten, wenn sie der Auffassung sind, die Klauseln können in den Jurisdiktionen der Empfänger nicht eingehalten werden.
Das „Schrems II“-Verfahren schließt sich an „Schrems I“ an, das zur Aufhebung des Vorgängers des Privacy Shield, dem Safe Harbour, führte. Hintergrund beider Verfahren ist ein EuGH vorgelegter Rechtsstreit zwischen dem österreichischen Juristen und Datenschutzaktivisten Max Schrems sowie Facebook vor irischen Gerichten.
Unternehmen sollten unverzüglich ihre Datenübermittlungsvorgänge in die USA prüfen. Stützen sich diese Übermittlungen auf das Privacy-Shield Abkommen? Wenn ja, müssen die Übertragungen ausgesetzt werden, um Bußgelder zu vermeiden. Stattdessen sollten mit den Empfängern unverzüglich Standardvertragsklauseln vereinbart werden. Das kann insbesondere die Datenverarbeitung über Web-Cookies betreffen, da dort keine separaten Verträge abgeschlossen wurden, sondern man auf den Schutz des Privacy Shield vertraut hatte.
Kurzfristig sollten auch Datenübermittlungen an Drittländer überprüft werden, die sich auf die EU-Standardvertragsklauseln stützen. Nach Aufforderung des EuGH ist verstärkt mit behördlichen Prüfverfahren zu rechnen, die nun auch gezielt den Datenschutz in Jurisdiktionen der Empfänger prüfen werden. Davon betroffen sind insbesondere Datenübermittlungen in Länder, die besonders starke Eingriffsrechte für Behörden vorsehen, wie beispielsweise China, Russland aber auch hier die USA. Um für einen behördlich angeordneten Übermittlungstop gewappnet zu sein, sollten frühzeitig problematische Übermittlungen identifiziert und alternative Sicherheitsmechanismen nach den Art. 44 ff. DS-GVO erarbeitet werden. Hier ist insbesondere auf behördliche Verlautbarungen zu achten. Es steht zu befürchten, dass die Prüfverfahren und Ansichten über die lokale Durchsetzbarkeit der EU-Standardvertragsklauseln in den EU-Mitgliedstaaten sehr unterschiedlich ausfallen. Dies kann in Deutschland auch von Bundesland zu Bundesland variieren.
Unaufgeforderte E-Mails und andere Informationen, die Dentons erhält, werden nicht vertraulich behandelt, können an Dritte weitergegeben werden, erhalten möglicherweise keine Antwort und schaffen keine Anwalt-Mandanten-Beziehung. Wenn Sie noch kein Mandant von Dentons sind, schicken Sie uns bitte keine vertraulichen Informationen.
Die Seite, die Sie besuchen wollten, ist in der von Ihnen ausgewählten Sprache nicht verfügbar. Sie wurden auf einen entsprechenden Bereich unserer Webseite weitergeleitet.
Sie werden jetzt von der Dentons Website zur englischen $redirectingsite Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.
Sie werden jetzt von der Dentons Website zur Beijing Dacheng Law Offices, LLP Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.