By: Comments off 22. Juli 2020

Es ist ein weitreichendes Urteil in Sachen Datenschutz. Der Europäische Gerichtshof (EuGH) kippt am 16.07.2020 die Vereinbarung für den Datenaustausch zwischen Europa und den USA und erklärt das EU-U.S.-Datenschutzschild für ungültig.

Dieser Datenaustausch ermöglichte den Transfer von personenbezogenen Daten zu kommerziellen Zwecken.

Der Hintergrund dieses Rechtsstreits war eine Beschwerde des Österreichers Max Schrems bei der irischen Aufsichtsbehörde DPC gegen die Facebook Irland Inc. Dieser beanstandete, dass Facebook Irland Inc. seine personenbezogenen Daten zum Zwecke der Verarbeitung an den Mutterkonzern Facebook Inc. in die USA übermittelt.
Der EuGH schloss sich der Argumentation des Datenschützers Schrems an. Die Überwachungsprogramme der US-Nachrichtendienste seien nicht auf das nach dem Grundsatz der Verhältnismäßigkeit „zwingend erforderliche Maß“ beschränkt und somit ungültig.

Wen betrifft dieses neue Urteil?
Zuerst muss gesagt werden, dass der Teil, der vom EuGH für ungültig erklärt hat grundsätzlich nicht alle Datenübermittlungen in die USA betrifft. Das EU-U.S.-Datenschutzschild kann nur nicht mehr als Transferinstrument verwendet werden, da Datenübermittlungen ab sofort auf dessen Grundlage rechtswidrig sind.
Verantwortliche müssen so auf andere Transferinstrumente des Kapitel V DSGVO umstellen. Wenn es keine Grundlage gibt, die den Datentransfer legitimiert, muss dieser – ggf. dauerhaft – ausgesetzt werden, da ansonsten ein Verstoß gegen Art. 44 DS-GVO vorliegt.

Standardvertragsklauseln weiter gültig
Verantwortliche, die Standardvertragsklauseln verwenden, müssen ihren daraus erwachsenden Pflichten nachkommen. Darunter fällt die erforderliche Auseinandersetzung von datenexportierenden Stellen mit der Gesetzeslage des Ziellandes.
Generell können Standardklauseln weiterhin würd die Datenübermittlungen in die USA verwendet werden.

Nutzung von Cloud-Diensten
Das Gesetz hat allerdings Auswirkungen auf Unternehmen, die Dienstleistungen von Telekommunikationsanbietern, wie etwa Cloud-Dienste, in Anspruch nehmen. Weil dort die Möglichkeit besteht, dass die US-Sicherheitsbehörden doch Zugriff auf die Daten erhalten.

Was tun?
Die Verantwortlichen müssen prüfen, welchen Gesetzen der Datenimporteur im Drittland, an den sie die Daten übermitteln möchten, und ggf. dessen weitere Vertragspartner in dieser Geschäftsbeziehung unterliegen und ob diese die mit den Standardvertragsklauseln gegebenen Garantien beeinträchtigen. Dann sind die konkreten Datenflüsse zu analysieren, um festzustellen, welche Gesetze des Drittlandes jeweils Anwendung finden.

Um ein datenschutzrechtliches Risiko zu vermeiden, können Unternehmen folgendes tun, um einer Rechtswidrigkeit der Datenübermittlung in die USA entgegenzuwirken:

1. Bei US-Anbietern nach EU-Servern fragen– Viele Anbieter, wie z. B. Amazon Web Services (AWS) oder Microsoft bieten die Möglichkeit an, dass Daten auf EU-Servern gespeichert werden (auch hier bestehen Rechtsunsicherheiten, aber angesichts derzeitiger Lage ist diese Lösung eine hinreichend sichere Option).
2. Keine US-Dienstleister einsetzen: Keine Dienstleister einsetzen, die Daten in den USA verarbeiten (d. h. bei US-Unternehmen nach EU-Servern fragen). Zumindest sollten Sie Evaluationsprozesse anstoßen, um im Fall der Fälle zumindest nachweisen zu können, dass Sie sich um Alternativen bemüht haben (mache Anbieter, wie z. B. der Versanddienstleister Mailchimp, boten auch bisher zusätzlich zum Privacy Shield Standardschutzklauseln an).
3. Keine Dienstleister mit US-Subunternehmern einsetzen: Keine Dienstleister einsetzen, deren Subunternehmer die Daten in den USA verarbeiten.
4. Verträge und Datenschutzhinweise anpassen: Verträge und Datenschutzerklärungen anpassen und Hinweise auf das Privacy-Shield entfernen.

Anschließend kann gesagt werden, dass dieses Urteil zu großer Unsicherheit, ganz besonders bei Unternehmen, führt. Es bleibt auch abzuwarten, die sich die jeweiligen US-Unternehmen zu dem Urteil positionieren werden.

Author: Total Post: 31