EuGH - Schrems II: EU-US Privacy Shield – was aus datenschutzrechtlicher Sicht jetzt zu beachten ist

Das Wichtigste in Kürze

  •  Das EU-US Privacy Shield darf nicht mehr als Rechtsgrundlage für den Transfer personenbezogener Daten in die USA herangezogen werden.
  • Eine Übertragung personenbezogener Daten auf Grundlage von Standardvertragsklauseln in die USA ist weiterhin möglich.
  •  Kann kein angemessener Schutz der personenbezogenen Daten bei einem Transfer sichergestellt werden, muss der Datentransfer zwingend unterbleiben.
  •  Findet ein Datentransfer statt, obwohl kein angemessenes Schutzniveau gewährleistet werden kann, besteht seitens des Unternehmens eine Informationspflicht gegenüber der zuständigen Aufsichtsbehörde.
  •  Es besteht keine Karenzzeit oder Übergangsfrist zur Umsetzung des Urteils.

Grundsatz
Personenbezogene Daten dürfen grundsätzlich nur in Drittländer übermittelt werden, wenn das datenempfangende Land ein angemessenes Datenschutzniveau vorweisen kann. Die Angemessenheit orientiert sich an dem durch die EU-DGSVO in Europa gewährleisteten Niveau.

EuGH-Urteil vom 16. Juli 2020 (Rs.C-311/18)
Der EuGH beurteilte das EU-US Privacy Shield als nicht ausreichend,um ein durch die EU-DSGVO garantiertes gleichwertiges Schutzniveau in den USA gewährleisten zu können und betont, dass die in den USA existierenden Überwachungsprogramme der US-Behörden sowie die in den USA bestehenden Rechtsschutzmöglichkeiten nicht mit dem Unionsrecht vereinbar sind.

Standardvertragsklauseln hält der EuGH in seinem Urteil für grundsätzlich wirksam. Im Einzelfall muss der Datenexporteur aufgrund seiner Verantwortlichkeit prüfen, ob die Standardvertragsklauseln im Hinblick auf das Recht des Drittlandes einen angemessenen Schutz gewährleisten. Der EuGH betont damit die Rolle der verantwortlichen Stelle und die daraus erwachsende Prüf-/Kontrollpflicht. Im Einzelfall müssen dann in Abhängigkeit auch einer Risikoabwägung  weitere Datensicherheitsmaßnahmen ergriffen bzw. vereinbart werden, um ein angemessenes Schutzniveau sicherstellen zu können. Sollte trotz der ergriffenen weiteren Schutzmaßnahmen kein angemessener Schutz der transferierten Daten gewährleistet werden, hat die verantwortliche Stelle den Datentransfer auszusetzen. Die zuständige Aufsichtsbehörde kann im Fall eines Unterlassens den Transfer untersagen.

Der EuGH sieht keine Karenzzeit oder Übergangsfrist für die Umsetzung der im Urteil dargestellten Entscheidungen vor.

 

Handlungsempfehlungen für Unternehmen
Unternehmen sollten in folge des EuGH-Urteils sämtliche Prozesse prüfen, die den Transfer personenbezogener Daten in Drittländer beinhalten. Bestandteil der Prüfung sollte sein, ob neben dem Privacy Shield weitere Maßnahmen vereinbart wurden und, ob diese unter Betrachtung des Risikos der Datenverarbeitung im Einzelfall ausreichend sind; sollte nur auf das Privacy Shield Bezug genommen worden sein, so sind zwingend alternative Maßnahmen zwischen dem Datenexporteur und dem Datenimporteur zu vereinbaren.

Empfohlenes Vorgehen
1. Identifizierung des internationalen Datentransfers, auch innerhalb von Konzernen und Unternehmensgruppen,
2. Risikobewertung der Datenverarbeitung im Einzelfall und Kontrolle der eingerichteten Maßnahmen auf Angemessenheit und Gültigkeit sowie
3. Einrichtung von zusätzlichen oder alternativen Maßnahmen für den jeweiligen datenverarbeitenden Prozess.

Sollten Standartvertragsklauseln vereinbart worden sein, können diese auch um zusätzliche vertragliche Regelungen ergänzt werden, was auch im Einzelfall zusätzliche technische Sicherheitsmaßnahmen umfasst.
Als Alternativen zum EU-US Privacy Shield sind auch verbindliche interne Datenschutzregeln, sog. Binding Corporate Rule, anwendbar oder eigene genehmigungspflichtige Standardvertragsklauseln. Weiter besteht die Möglichkeit eine Ausnahmereglung nach Art. 49 EU-DSGVO zu nutzen.

Kontakt
+49 170 913 76 17