EuGH urteilt: Privacy Shield ist ungültig

Das wichtigste in Kürze

Darauf haben die Datenschützer lange gewartet: Der Europäische Gerichtshof erklärte am Donnerstag, dem 16.07.2020, den Privacy Shield für ungültig. Das heißt, dass es seit diesem Urteil an adäquaten Grundlagen für die Übermittlung von personenbezogenen Daten speziell in die USA fehlt. Mehr noch: Geeignete Werkzeuge der Datenschutzbeauftragten haben ihre Wirkung verloren. Wie zu vermuten war, zählen die Standardvertragsklauseln zu jenen Instrumenten, welche nur noch in ausgewählten Einzelfällen genutzt werden können. Dies stellt viele Unternehmen vor große Herausforderungen. Denn das Problem ist nicht begrenzt auf Facebook. Es betrifft alle Dienste, Anwendungen und Softwareprodukte, welche personenbezogene Daten in die USA übermitteln.

Urteil Schrems II: Datenübertragungen in die USA sind deutlich erschwert worden. Zu recht.

Zum Hintergrund

In dem Fall (externer Link zum Urteil) musste der EuGH darüber urteilen, ob Facebook Ireland, personenbezogene Daten seiner Nutzer, an einen Drittstaat, die USA, weitergeben darf. Eine Weitergabe liegt vor, wenn die irischen Server von Facebook mit den Servern der Facebook Inc. in den USA kommunizieren. Genau das passiert stets und ständig. Mit dem Urteil hat der Kläger, der Österreicher Maximilian Schrems, bereits zum zweiten Mal einen US-Tech-Giganten in die Knie gezwungen.

Die Herausforderung

Für eine Weitergabe personenbezogener Daten in ein Drittland, ohne europäischen Angemessenheitsbeschluss, gibt es einige grundlegende Voraussetzungen:

  • Es muss eine Rechtsgrundlage für die Übertragung geben
  • Es müssen geeignete Garantien für die Kommunikation vorliegen
  • Es muss einen Rechtsweg in den USA für den Nutzer geben
  • Es muss sichergestellt werden, dass alle Daten vor einer staatlichen Willkür geschützt sind

Erschwert werden diese Herausforderungen durch den Fakt, dass alle Bedingungen gleichzeitig erfüllt sein müssen.

Im besonderen Fall der USA sind drei der vier Grundsätze nicht erfüllt. Zum aktuellen Zeitpunkt kann es, dank einschlägiger US-Schutzgesetze, keine geeigneten Garantien geben. Weiterhin ist der Rechtsweg für europäische Bürger ausgeschlossen, da das Ombudsmann-System des Privacy Shield für unwirksam befunden wurden. Letztlich gibt es darüber hinaus keine Garantie dafür, dass personenbezogene Daten von EU-Bürgern nicht anlasslos und in unangemessenen Ausmaß durch US-Behörden verarbeitet werden. Der Knackpunkt ist der geltende US-Cloud Act.

Lösung

Bis es zu einer juristischen Lösung kommt, bleiben nicht viele Instrumente, um eine Kommunikation von personenbezogenen Daten zwischen den USA und der EU herzustellen. In der Zwischenzeit verbleibt man in Bezug auf die Verarbeitungen personenbezogener Daten mit den USA quasi in blanker Rechtsunsicherheit. Die Rechtssicherheit kann aktuell nur in geprüften Einzelfällen unter anderem durch den Art. 49 der DSGVO hergestellt werden.

Wichtig: Man sollte alle Verarbeitungen genau prüfen und dabei die Informationspflichten beachten.

Kontakt

Für weiterführende Informationen und konkrete Anfragen nehmen Sie Kontakt zu uns auf.