Urteil des Europäischen Gerichtshofs zum EU-US-Privacy-Shield-Abkommen
Datenübermittlung in die USA
Datenschutzaktivist Max Schrems hat erneut gegen Facebook gewonnen. Nach dem Safe-Harbor-Abkommen hält auch das EU-US-Privacy-Shield-Abkommen der EuGH-Kontrolle nicht stand.
Eine bislang zulässige Übermittlung personenbezogener Daten in die USA kann grundsätzlich über zwei Wege erfolgen:
- Unterwerfung des amerikanischen Unternehmens (Datenempfänger) unter das Privacy-Shield-Abkommen; oder
- Abschluss von Standardvertragsklauseln zwischen Datenempfänger und Datenexporteur.
In beiden Fällen wird ein sicheres Datenschutzniveau fingiert.
Übertragung von Daten an Facebook
Dem Europäischen Gerichtshof wurde zur Überprüfung vorgelegt, ob die Standardvertragsklauseln sowie das Privacy Shield einen solchen Schutz gewährleisten, sprich ein sicheres Datenschutzniveau. Konkret wurde überprüft, ob eine Datenübertragung aus Europa zu Facebook in den USA, welches sich dem Privacy Shield unterworfen hat, ein sicheres Datenschutzniveau aufweist.
Standardvertragsklauseln sind sicher
Das Gericht urteilte, dass die Standardvertragsklauseln ausreichend Mechanismen enthalten, die den Schutz der Rechte von EU-Bürgern in der Praxis gewährleisten.
Privacy Shield ist nicht sicher
Hingegen werden die Rechte von EU-Bürgern bei der Unterwerfung des Datenempfängers unter das Privacy Shield nach Ansicht des Gerichts nicht ausreichend gewahrt. Die US-amerikanischen Behörden haben aus Gründen der nationalen Sicherheit und des öffentlichen Interesses weitreichende Eingriffsmöglichkeiten in die Grundrechte und Zugriffsmöglichkeiten auf die personenbezogenen Daten. US-amerikanische Rechtsvorschriften, welche den Umgang mit den Daten begrenzen und den Betroffenen Rechte zubilligen, existieren kaum. Auch die Einrichtung eines Ombudsmechanismus sei nicht ausreichend, um die Daten und Rechte der Betroffenen ausreichend zu schützen. Folglich dürfen Daten nicht an Unternehmen in den USA, die sich dem Privacy Shield unterworfen haben, weitergeleitet werden. Die europäischen Behörden haben dies zu untersagen.
Was tun?
Viele Unternehmen haben sich hinsichtlich der Datenübertragung an Unternehmen in die USA auf die Gültigkeit des Privacy Shields verlassen. Nach dem Urteil ist eine Datenübertragung aufgrund des Privacy Shields nicht mehr zulässig.
Aktuell empfehlen wir daher, mit Standardvertragsklauseln zu arbeiten. Zwar gibt es auch hiergegen berechtigte faktische Einwände, denn die gegen das Privacy Shield angeführten Argumente haben auch hier eine Berechtigung. Aufsichtsbehördlich werden die Standardvertragsklauseln aber bestehen.
Ferner kann bereits bei Abschluss eines Vertrags darauf geachtet werden, dass die Daten nicht in die USA übertragen, sondern beispielsweise in Rechenzentren in der EU gespeichert werden.
In Folge des Urteils sollten alle Datenübertragungen in die USA auf den Prüfstand gestellt werden.