Privacy Shield ungültig – was tun?

Sie speichern oder verarbeiten personenbeziehbare Daten in den USA oder nutzen die Dienstleistungen eines US-amerikanischen Unternehmens oder ihr Dienstleister in der EU nutzt seinerseits Unterauftragnehmer in den USA? Dann müssen Sie jetzt handeln und klären, ob diese Datenverarbeitung weiterhin zulässig ist! Sie sind für die Rechtmäßigkeit jeder Übermittlung verantwortlich, wenn Sie eine solche in Auftrag geben! Teilen Sie ihrem Datenschutzbeauftragten mit, ob und zu welchem Unternehmen in den USA Daten übermittelt werden – wir prüfen gemeinsam mit unseren Kunden, ob und welcher Handlungsbedarf besteht.

Die Datenschutz-Grundverordnung definiert klare Regelungen für die Übermittlung von personenbezogenen Daten in Drittländer. Grundsätzlich muss ein angemessenes Schutzniveau vorliegen, welches durch einen Angemessenheitsbeschluss der Kommission anhand des EU-US-Datenschutzschild (Privacy Shield) oder geeignete Garantien wie Standarddatenschutzklauseln oder verbindliche interne Datenschutzvorschriften dargelegt wird.

Hergang:

Ein österreichischer Staatsangehöriger (Betroffener) legte aufgrund der Übermittlung seiner Daten von Facebook in die USA Beschwerde bei der irischen Aufsichtsbehörde ein, da die Vereinigten Staaten keinen ausreichenden Schutz seiner Daten böten. Diese Beschwerde wurde aufgrund der damals bestehenden Safe-Harbour-Entscheidung der Kommission zurückgewiesen.

Mit dem Urteil vom 06. Oktober 2015 erklärte der Gerichtshof die Safe-Harbour-Entscheidung für ungültig und die Zurückweisung wurde aufgehoben.

Auf Aufforderung der irischen Aufsichtsbehörde wurde die Beschwerde durch den Betroffenen unter Berücksichtigung der Ungültigkeitserklärung umformuliert. Die Übermittlung personenbezogener Daten an die Vereinigten Staaten anhand von Standardvertragsklauseln solle ausgesetzt und verboten werden. Nach Einleitung des Verfahrens vor dem irischen High Court erließ die Kommission den Beschluss über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes.

Aufgeworfen wurden damit die Fragen nach der Gültigkeit der Standardschutzklauseln sowie des EU-US-Datenschutzschildes, die in dem heutigen Urteil bewertet wurden.

Urteil und Ergebnis:

Anwendung findet das Urteil auf die Übermittlung personenbezogener Daten zu gewerblichen Zwecken.

Der Beschluss über den EU-US-Datenschutzschild wurde für ungültig erklärt, da ein unzureichender Schutz vor staatlichem Zugriff bestünde. Damit kann die Übermittlung von personenbezogenen Daten in Drittländer nicht länger darauf gestützt werden und wäre datenschutzrechtlich unzulässig.

Die Standardvertragsklauseln dagegen haben entsprechend des Urteils weiterhin Bestand, wodurch die Gültigkeit und Anwendbarkeit dieser weiterhin gegeben ist. Zu beachten ist jedoch, dass nur dann eine rechtliche Basis für die Datenübermittlung gegeben ist, wenn der gebotene Datenschutz garantiert wird. Standardvertragsklauseln sind nur dann gültig, wenn die Rechtsordnung des Landes, in das die Daten übermittelt werden sollen, die erforderlichen Garantien bietet. Dies beinhaltet den effektiven Rechtsschutz gegen staatliche Datenzugriffe.

Weitere Verfahren und Entscheidungen bleiben abzuwarten. Zunächst hat die irische Aufsichtsbehörde bei Facebook entsprechende Prüfungen anzuregen.

Handlungsempfehlung:

Nach dieser EuGH-Entscheidung muss die Übermittlung personenbezogener Daten in die USA unterbleiben, wenn sie sich rein auf das EU-US-Datenschutzschild stützt.

Auch wenn das System der Standardvertragsklausen vorerst bestehen bleibt, müssen diese überprüft und gegebenenfalls ausgesetzt werden. Eine Übermittlung personenbezogener Daten sollte umgehend ausgesetzt werden, wenn die Standarddatenschutzklauseln nicht eingehalten werden oder der erforderliche Schutz der übermittelten nicht durch andere Mittel gewährleistet werden kann. Das betrifft auch die Übermittlung in andere Drittstaaten mit zweifelhaften rechtsstaatlichen Garantien, vor allem aber die Vereinigten Staaten und Großbritannien (weiterführende Informationen zum Brexit finden Sie hier).

Zu prüfen sind nunmehr die vertraglichen Regelungen zwischen Ihnen und dem im Drittland ansässigen Vertragspartner sowie die maßgeblichen Aspekte der Rechtsordnung des entsprechenden Landes in Bezug auf einen etwaigen Zugriff der Behörden auf die übermittelten Daten.

Teilen Sie uns bitte mit, ob Sie Vertragspartner in einem Drittland haben, mit denen Sie personenbezogene Daten austauschen und übersenden Sie uns gern die bestehenden Verträge zur Prüfung.