Privacy Shield schützt nicht mehr. Was nun?

Am 16.07.2020 verkündete der Europäische Gerichtshof (EuGH), dass das transatlantische Abkommen „Privacy Shield“ (Datenschutzschild) nichtig sei. Das Urteill kam nicht unerwartet und hat weitreichende Auswirkungen.

Hintergrund

Das Privacy Shield ist schon der zweite Versuche eines Abkommens zwischen der Europäischen Union (EU) und den Vereinigten Staaten von Amerika (USA) auf dem Gebiet des Datenschutzes. Firmen aus den USA, die sich den Vorgaben des Privacy Shield unterwarfen, konnten leichter personenbezogene Daten mit Firmen oder Privatpersonen aus der EU austauschen. Auf der Liste an Unternehmen, die sich dem Privacy Shield unterworfen haben, stehen auch prominente Namen wie facebook, Google, WhatsApp, Microsoft, Red Hat, Tesla oder HP. Kritiker warfen dem Abkommen schon von Beginn an vor, dass es kein angemessenes Datenschutzniveau für EU-Bürger erreiche.

Was nun?

Mit der Entscheidung des EuGH ist das Abkommen nichtig, also wie nie abgeschlossen. Sämtlicher Transfer von personenbezogenen Daten von einem Land der EU in die USA, der sich bisher auf das Privacy Shield stützte, ist nun möglicherweise nicht mehr erlaubt. Betroffen sind alle, die Software oder Dienstleistungen jener Firmen aus der USA einsetzen. Denn oft werden unerkannt personenbezogene Daten von diesen Firmen auf Servern in den USA gespeichert. Dies darf nicht ohne eine Rechtsgrundlage geschehen. Bisher stellte die Entscheidung der Europäischen Kommission zum EU-US-Privacy Shield eine Rechtsgrundlage für Datenübermittlungen in die USA in Form eines Angemessenheitsbeschlusses nach Artikel 25 Absatz 6 Datenschutzrichtlinie 95/46/EG, dar, die gemäß Artikel 45 Absatz 9 der Datenschutz-Grundverordnung weiterhin Bestand hat (Quelle Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Stand 17.07.2020).

Nun, da das Privacy Shield als Rechtsgrundlage entfällt, ist allen Unternehmen in der EU geraten, einen möglichen Transfer personenbezogener Daten zu überprüfen. Gibt es eine weitere gesetzliche Grundlage? Sollte dies – wie in den meisten Fällen – verneint werden, kommen prinzipiell zwei Möglichkeiten in Betracht.

Im Rahmen vertraglicher Bestimmungen können Regelungen aufgenommen werden, nach denen das Unternehmen aus den USA einen Schutz personenbezogener Daten nach dem europäischen Datenschutz garantiert. Dazu ist aber erforderlich, dass das Unternehmen konkrete Maßnahmen benennt, Rechte der Betroffenen einräumt usw. Eine bloße Absichtserklärung wäre sicher nicht ausreichend. Solche „Standardklauseln“ sind weit verbreitet bei den großen IT-Unternehmen in den USA. Über die Rechtmäßigkeit dieser Klauseln hat der EuGH nicht entschieden. Es bleibt aber eine Unsicherheit, ob die vertraglichen Regelungen vor EU-Datenschutzbehörden Bestand haben.

Als zweite Möglichkeit einer Rechtsgrundlage kommt eine Einwilligung in Betracht (vlg. Art. 49 DSGVO). Dort, wo die Einwilligung einen überschaubaren Kreis an Personen betrifft (zum Beispiel die Mitarbeiterinnen und Mitarbeiter), wäre sie ein probates Mittel. Wichtig ist, dass den betroffenen Personen genau erklärt wird, welche personenbezogenen Daten in die USA transferiert werden und welchen Gefahren die Daten dort ausgesetzt sind (aus europäischer Sicht ist kein Datenschutz in den USA automatisch garantiert!). Wenn dann die Einwilligung freiwillig erklärt wird, können auch Dienste in den USA wieder genutzt werden. Beachtet werden muss, dass die Einwilligung jederzeit für die Zukunft widerrufen werden kann.

Unternehmen, die aufgrund der Vielzahl von Personen nicht mit Einwilligungen arbeiten und auch sonst keine Rechtsgrundlage vorweisen können, ist schlicht geraten, keine Dienste aus den USA zu verwenden, die personenbezogene Daten in die USA transferieren. Selbst Firmen, die sich bisher dem Privacy Shield unterworfen haben, müssen sich nun nicht mehr zwingend daran halten. Auch hier sind bloße Absichtserklärungen solcher Firmen kritisch zu sehen. Die EU hat dem Datenschutz ein hohes Schutzniveau gegeben. Das kann auf Seiten anderer Länder außerhalb der EU nur erreicht werden, wenn dort gesetzgeberisch ein ähnliches Datenschutzniveau festgelegt wird. Alle (privatrechtlichen) Vereinbarungen zwischen Unternehmen finden immer dort eine Grenze, wo staatliches Handeln die Rechte der Betroffenen beschneidet.

Share this Post