Das Urteil des Gerichtshofs der Europäischen Union vom 16.07.2020 bedeutet nicht weniger, als dass die bislang wichtigste Grundlage für die Übermittlung von personenbezogenen Daten an Empfänger in den USA unwirksam ist. Datenübermittlungen an US-Unternehmen können ab sofort nicht mehr auf den sog. „Privacy Shield“ gestützt werden.
Die Entscheidung stellt zudem – worin die weitere Sprengkraft des Urteils liegt – auch alle sonstigen Möglichkeiten der Drittlandübertragung in die USA in Zweifel: Denn die Anforderungen, die der EuGH an eine Drittlandübermittlung stellt, sind in der Praxis nicht einzuhalten. Grund ist der mangelhafte Datenschutz für EU-Bürger in den USA. Das „Privacy Shield“ wie auch die alternativen Standardschutzklauseln, wären nur dann als Grundlage für Datentransfers in die USA zulässig, wenn ein wirksames Datenschutzniveau gewährleistet wäre. Der EuGH entschied, dass das nicht der Fall ist: US-Behörden stehen Prüfungsrechte, z.B. Datenzugriffe bei elektronischen Kommunikationsdiensten zu, ohne dass EU-Bürger sich dagegen wehren können.
Folge dieses Urteils ist, dass insbesondere die Inanspruchnahme von US-Dienstleistern, die nur auf Basis des sog. „Privacy Shield“ erfolgt, seit letzten Donnerstag unzulässig und ggf. damit rechtswidrig ist. Dies betrifft unter anderem Google Analytics, Social Media (bei Facebook, Twitter, Instagram), Videokonferenzsysteme (z.B. Zoom, MS Teams) sowie Hosting- und Cloud-Dienste (z.B. AWS, MS Azure, Office 365) US-amerikanischer Anbieter.
Eine ähnliche Situation hatten wir bereits im Jahr 2015 als der EuGH das sog. Safe-Harbor-Abkommen für ungültig erklärte. Auch damals entstand ein Rechtsvakuum bis am 1. August 2016 die Nachfolgeregelung, der nun ebenfalls für ungültig erklärte „Privacy Shield“, angewendet werden konnte. Erwartungsgemäß wird es auch diesmal, sofern die US-Administration zu Zugeständnissen bereit ist, eine Neuregelung geben. Da der wirtschaftliche Schaden für US- und EU-Unternehmen ohne neues Abkommen immens sein dürfte, ist auch der Druck auf die Politik eine Lösung zu finden sehr hoch.
Das Risiko beim Abwarten besteht allerdings darin, dass Sie von Datenschutzbehörden oder Betroffenen zur Einstellung von Datentransfers in die USA aufgefordert werden könnten. Auch Bußgelder oder Abmahnungen sind denkbar, allerdings in der aktuellen Lage eher unwahrscheinlich.
Der Europäische Datenschussausschuss hat eine Leitlinie für Unternehmen für die rechtssichere Datenübertragung nach dem EuGH-Urteil angekündigt. Sobald diese veröffentlicht wird, werden wir Ihnen konkrete Handlungsempfehlungen zur Verfügung stellen.
Zurückhaltung ist jetzt allerdings beim Neuabschluss von Verträgen mit US-Anbietern geboten, wenn die Verarbeitung von personenbezogenen Daten betroffen ist!
UfDI – Unternehmensberatung für Datenschutz & Informationssicherheit in der Bauplanung
www.ufdi.de
A A A