Privacy Shield auf Handy Display

EU-U.S. Privacy Shield – Folgen des EuGH Urteils für Unternehmen

Die Übermittlung personenbezogener Daten in die USA stellt seit Jahren eine kontroverse Datenschutzproblematik dar. Wir erklären die aktuelle gesetzliche Grundlage und gehen auf das EuGH-Urteil zum EU-U.S. Privacy Shield ein.

2020-07-30

Logo

Die DSGVO schreibt vor, dass personenbezogene Daten nur dann an ein Drittland weitergegeben werden dürfen, wenn dort ein angemessenes Schutzniveau besteht (Art. 44 DSGVO). Der Datenschutz in den USA gilt nach europäischen Standards gemeinhin als unzureichend, darum dürften dorthin doch eigentlich gar keine personenbezogenen Daten übermittelt werden – oder?

Hier kommt Art. 45 DSGVO zur Hilfe, denn dieser erklärt, dass Datenübermittlungen in ein Drittland auch dann zulässig sind, wenn von der Europäischen Kommission durch einen Angemessenheitsbeschluss entschieden wurde, dass das Datenschutzniveau ausreichend ist. Dies ist die Grundlage für den EU-U.S. Privacy Shield, welcher am 01. August 2016 in Kraft trat. Wichtig ist hier also anzumerken, dass der Privacy Shield kein Abkommen ist, sondern lediglich eine Absprache zwischen den USA und der EU. Die Vereinigten Staaten sicherten gewisse Datenschutzstandards zu und die Kommission traf daraufhin im Gegenzug den sog. Angemessenheitsbeschluss. Nun wurde das Privacy Shield gekippt. Welche Auswirkungen hat dies auf die Datenübermittlung in Unternehmen?

 

Was beinhaltete der EU-U.S. Privacy Shield und was waren die Ziele des Datenschutzschildes?

Der Privacy Shield ermöglichte nicht jegliche Datenübermittlung in die United States, sondern war lediglich eine Grundlage für Übermittlungen an solche U.S.-Unternehmen, die eine gültige Privacy-Shield-Zertifizierung besaßen. Dazu mussten sich amerikanische Unternehmen, die personenbezogene Daten von EU-Bürge:innen verarbeiten wollten, in eine Liste des U.S.-Handelsministerium eintragen lassen. Die Unternehmen verpflichteten sich mit der Eintragung zwar dazu, die Prinzipien des Privacy Shield zu achten, es fand jedoch keine weitere Prüfung durch eine unabhängige Stelle statt, weshalb dieser Prozess häufig als Selbstzertifizierung bezeichnet wurde.

Unternehmen und andere Akteure aus der EU, die personenbezogene Daten in die USA übermitteln wollten, mussten also bisher darauf achten, dass das U.S.-Unternehmen, an das sie Daten weitergeben wollten, in der Liste des U.S.-Handelsministeriums eingetragen war. Wollte allerdings z.B. eine nationale Behörde ein US-amerikanisches Unternehmen als Auftragsverarbeiter nutzen, war die Privacy-Shield-Zertifizierung allein ohnehin nicht ausreichend. Es musste darüber hinaus sichergestellt werden, dass das für die jeweilige Behörde geltende Datenschutzgesetz eingehalten wurde.

Mit der Eintragung verpflichteten sich Unternehmen hauptsächlich zu folgenden vier Prinzipien:

  • Datensparsamkeit

  • Datenverarbeitung nur mit Zweckbindung

  • Beantwortung von Beschwerden innerhalb von 45 Tagen

  • Kooperation im Falle einer Untersuchung


EU-Bürger:innen, deren Daten an ein U.S.-Unternehmen übermittelt wurden, hatten gegenüber diesem Unternehmen folgende Rechte:

  • Recht auf Information

  • Ggf. Recht auf Widerspruch gegen eine Datenverarbeitung

  • Recht auf Auskunft

  • Recht auf Berichtigung unrichtiger Daten

  • Ggf. Recht auf Löschung

  • Recht auf Inanspruchnahmen von Beschwerde-/Abhilfeverfahren

  • Recht auf Einreichung eines Antrags zur Anrufung der sogenannten Ombudsperson

 

Kritik am Privacy Shield

Um die stets anhaltende Kritik am Privacy Shield besser nachvollziehen zu können, lohnt es sich einen Blick auf den Vorgänger der Vereinbarung zu werfen: Safe Harbor. Das Safe Harbor-Übereinkommen hatte das gleiche Ziel und bezog sich auf eine entsprechende Regelung der damals geltenden EU-Datenschutzrichtlinie, welche die Datenübermittlung in ein Drittland ebenfalls nur unter bestimmten Voraussetzungen erlaubte. Allerdings wurde Safe Harbor im Oktober 2015 vom Europäischen Gerichtshofs (EuGH) als Gefährdung für die Grundrechte europäischer Bürger:innen eingestuft und darum für ungültig erklärt. Einer der Hauptkritikpunkte an Safe Harbor war die existierende Möglichkeit des Zugriffs der U.S.-Regierung auf personenbezogene Daten von EU-Bürgern. Durch die bestehende Gesetzgebung in den USA (etwa den USA PATRIOT Act) haben dortige Behörden alle nötigen Befugnisse dazu.

Im Zuge der Verhandlungen des Privacy Shields teilte die Europäische Kommission mit, eine schriftliche Zusicherung der U.S.-Regierung erhalten zu haben, dass der Zugriff auf die personenbezogenen Daten von EU-Bürgern zukünftig deutlichen Beschränkungen und Kontrollen unterliegen werde. Außerdem konnten Unternehmen durch das EU-U.S. Privacy Shield im Gegensatz zur Zeit der Safe-Harbor-Regelung jetzt sanktioniert und aus der Liste des U.S.-Handelsministeriums gelöscht werden.

Trotz dieser Verbesserungen gab es immer noch Punkte, die stets am Privacy Shield kritisieren wurden:

  • Der Privacy Shield war weiterhin nur eine Absprache und kein Vertrag mit verbindlichen Verpflichtungen.

  • Die Privacy-Shield-Zertifizierung kam einer Selbstzertifizierung gleich.

  • Es bestand immer noch kein ausreichender Schutz der Daten vor dem Zugriff der U.S.-Regierung (Die bloße Zusicherung wurde als nicht ausreichend angesehen).

  • Eine sehr weitreichende Datenerfassung war weiterhin Praxis.

  • Dem Recht auf Information der EU-Bürger:innen wurde nicht ausreichend nachgekommen.

  • Die Folgen bei Verstößen waren häufig unzureichend und lagen oft im Ermessen der USA. 

 

EuGH Privacy Shield Urteil: Welche Folgen hat das Privacy Shield Urteil des EuGH?

Nun ist das EU-U.S. Privacy Shield nach einem Gerichtsurteil des Europäischen Gerichtshofs also passé: Das Abkommen wurde durch das „Privacy Shield Urteil“, wie es gemeinhin genannt wird, für ungültig erklärt. Der Grund ist einfach und knüpft teilweise an die stets geäußerte Kritik an: U.S.-Geheimdienste könnten ungehindert auf Daten Europäischer Bürger:innen zugreifen, so der EuGH. Mit Datenschutz hat das natürlich nichts zu tun. Das hinterlässt vor allem bei vielen Unternehmen einen faden Nachgeschmack, denn viele Anwendungen, die bisher intern genutzt wurden, sind urplötzlich nicht mehr zertifiziert. Das betrifft von Software-Anwendungen wie Microsoft über Hosting-Server wie Amazon Webservices bis hin zu Cloud-Lösungen wie Dropbox Anwendungen, die aus dem Unternehmensalltag oftmals nicht mehr wegzudenken sind.

Die Folgen sind weitrechend: Verträge müssen überarbeitet, alternative Anwendungen gefunden und Kund:innen informiert werden. Das EuGH Privacy Shield Urteil brachte zwar in der Gesetzeslage Klarheit, in den Unternehmen aber hauptsächlich Unsicherheit. Denn ganz konkret bedeutet das Urteil, dass das Privacy Shield gekippt hat: die Übermittlung personenbezogener Daten in die USA, die ausschließlich auf das Privacy Shield gestützt wurden, ist ab sofort nicht mehr rechtmäßig und stellt einen Verstoß gegen die DSGVO dar, der mit einem Bußgeld belegt werden kann. Und auch die Aussicht auf ein abermals überarbeitetes Abkommen, das die EU-Kommission mit den USA aushandeln könnte, ist fragwürdig. Würde auch dieses nicht doch wieder, wie das Safe-Harbour und das EU-U.S. Privacy Shield vom EuGH gekippt werden? Das Chaos ist für Unternehmen nun also groß und ebenso auch der Handlungsbedarf.

 

Folgen und Handlungsempfehlungen für Unternehmen

Für Unternehmen besteht jetzt dringender Handlungsbedarf. Folgende Punkte sollten Sie dabei beachten:

  • Identifizieren Sie alle Anwendungen, bei denen Daten in die USA fließen bzw. alle Anwendungen, die Privacy-Shield-zertifiziert sind. Anwendungen, die ausschließlich auf das Privacy Shield gestützt sind, sind nun nicht mehr zulässig.

  • Standarddatenschutzklauseln: Mit manchen U.S.-Dienstleistern können Sie sog. Standarddatenschutzklauseln schließen. Diese sind, wie der EuGH in seinem Urteil bestätigte, unter folgender Bedingung weiter wirksam:  Der / die Verantwortliche muss prüfen, ob der / die Empfänger:in der Daten auch tatsächlich das erforderliche Schutzniveau einhalten kann. Wie genau diese Prüfung in der Praxis auszusehen hat, ist bisher jedoch nicht abschließend geklärt. Diese Lösung stellt also nicht nur Unternehmen, sondern sogar Datenschützer:innen vor neue Herausforderungen.

  • Binding Corporate Rules: BCR sind quasi verbindliche interne Datenschutzregelungen. Hier sind vor allem größere Unternehmen auf der sicheren Seite, wenn Sie mit Diensleistern speziell ausgehandelte Verträge haben. Prüfen Sie, ob diese Möglichkeit für Sie in Betracht kommt.

  • Starke Verschlüsselung: Eine denkbare Lösung für das weitere Verwenden von U.S.-Diensten wäre die Nutzung einer sehr starken Verschlüsselung für die personenbezogenen Daten, die dorthin übertragen werden. Die meisten Tools lassen diese Möglichkeit aber leider nicht zu.

  • Einwilligung: Eine Datenübermittlung in die USA darf erfolgen, wenn eine ausdrückliche Einwilligung der / des Betroffenen vorliegt. Diese Praxis ist allerdings sehr aufwändig und nur im Einzelfall zu realisieren. Zudem muss der / die Betroffene bereits vor der Datenübertragung informiert werden. Auch bedarf es einer Aufklärung über die Risiken, die bei einer Übermittlung ihrer Daten in ein Land, welches nicht ein gleichwertiges Schutzniveau wie die DSGVO aufweist, bestehen (Art. 49 Abs. 1 S.1 lit. a DSGVO).

  • Vetragserfüllung: In Einzelfällen kann die Übermittlung personenbezogener Daten in ein Nicht-EU-Land auch auf die Erfüllung eines Vertrages zwischen dem Betroffenen und dem Verantwortlichen gestützt werden (Art. 49 Abs. 1 S.1 lit. b DSGVO). Dies betrifft aber eher wenige Vorgänge, wie eine Hotelbuchung in den USA. Hier bedarf es aber in jedem Fall einer Einzelfallprüfung.

  • Europäische Alternativen: Zu vielen Anwendungen, die personenbezogene Daten in die USA übertragen, gibt es europäische Alternativen, die den Vorgaben der DSGVO unterliegen. Von einer europäischen Cloud bis hin zu einem deutschen Rechenzentrum finden Sie vielleicht auch für Ihr Unternehmen eine sichere Alternative.

Autorinnen: Kathrin Strauß und Maike Weiss
Artikel aktualisiert am: 30.07.2020

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr