Urteil des Europäischen Gerichtshofs zum EU-US-Privacy-Shield-Abkommen

 

Datenübermittlung in die USA 

Datenschutzaktivist Max Schrems hat erneut gegen Facebook gewonnen. Nach dem Safe-Harbor-Abkommen hält auch das EU-US-Privacy-Shield-Abkommen der EuGH-Kontrolle nicht stand.
Eine bislang zulässige Übermittlung personenbezogener Daten in die USA kann grundsätzlich über zwei Wege erfolgen: 

  • Unterwerfung des amerikanischen Unternehmens (Datenempfänger) unter das Privacy-Shield-Abkommen; oder 
  • Abschluss von Standardvertragsklauseln zwischen Datenempfänger und Datenexporteur. 

In beiden Fällen wird ein sicheres Datenschutzniveau fingiert.

Übertragung von Daten an Facebook

Dem Europäischen Gerichtshof wurde zur Überprüfung vorgelegt, ob die Standardvertragsklauseln sowie das Privacy Shield einen solchen Schutz gewährleisten, sprich ein sicheres Datenschutzniveau. Konkret wurde überprüft, ob eine Datenübertragung aus Europa zu Facebook in den USA, welches sich dem Privacy Shield unterworfen hat, ein sicheres Datenschutzniveau aufweist.

Standardvertragsklauseln sind sicher

Das Gericht urteilte, dass die Standardvertragsklauseln ausreichend Mechanismen enthalten, die den Schutz der Rechte von EU-Bürgern in der Praxis gewährleisten. 

Privacy Shield ist nicht sicher

Hingegen werden die Rechte von EU-Bürgern bei der Unterwerfung des Datenempfängers unter das Privacy Shield nach Ansicht des Gerichts nicht ausreichend gewahrt. Die US-amerikanischen Behörden haben aus Gründen der nationalen Sicherheit und des öffentlichen Interesses weitreichende Eingriffsmöglichkeiten in die Grundrechte und Zugriffsmöglichkeiten auf die personenbezogenen Daten. US-amerikanische Rechtsvorschriften, welche den Umgang mit den Daten begrenzen und den Betroffenen Rechte zubilligen, existieren kaum. Auch die Einrichtung eines Ombudsmechanismus sei nicht ausreichend, um die Daten und Rechte der Betroffenen ausreichend zu schützen. Folglich dürfen Daten nicht an Unternehmen in den USA, die sich dem Privacy Shield unterworfen haben, weitergeleitet werden. Die europäischen Behörden haben dies zu untersagen. 

Was tun? 

Viele Unternehmen haben sich hinsichtlich der Datenübertragung an Unternehmen in die USA auf die Gültigkeit des Privacy Shields verlassen. Nach dem Urteil ist eine Datenübertragung aufgrund des Privacy Shields nicht mehr zulässig. 

Aktuell empfehlen wir daher, mit Standardvertragsklauseln zu arbeiten. Zwar gibt es auch hiergegen berechtigte faktische Einwände, denn die gegen das Privacy Shield angeführten Argumente haben auch hier eine Berechtigung. Aufsichtsbehördlich werden die Standardvertragsklauseln aber bestehen.

Ferner kann bereits bei Abschluss eines Vertrags darauf geachtet werden, dass die Daten nicht in die USA übertragen, sondern beispielsweise in Rechenzentren in der EU gespeichert werden. 
In Folge des Urteils sollten alle Datenübertragungen in die USA auf den Prüfstand gestellt werden.

Dr. Christian Lenz

Rechtsanwalt / Fachanwalt für Steuerrecht / Fachanwalt für Informationstechnologierecht

Zum Profil von Dr. Christian Lenz

Verena Erger

Rechtsanwältin, Maître en Droit Européen

Zum Profil von Verena Erger

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Alexandra Hecht

Rechtsanwältin, Fachanwältin für Arbeitsrecht

Zum Profil von Alexandra Hecht

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
YouTube Video laden
Permalink