Paukenschlag: Privacy-Shield Abkommen durch EuGH – Datenverarbeitung mit den USA größtenteils unzulässig.
Das EuGH hat am 16.07. ein Urteil gefällt, dass weitreichende Folgen für die Datenverarbeitung aus der EU in die USA haben wird.
Diese Entscheidung geht zurück auf eine Initiative des österreichischen Datenschutzaktivisten Maximilian Schrems. Dieser hatte bereits im Jahr 2013 ein Verfahren bei der irischen Aufsichtsbehörde angestrengt (Irland, weil dort Unternehmen wie Facebook, Google & Co. ihre europäische Niederlassungen haben), was 2015 mit dem Urteil abgeschlossen wurde, welches den Vorgänger des Privacy Shields, das sog. Safe Harbour Abkommen kippte. Den meisten die sich mit der Datenschutz beschäftigen war aber klar, dass das Privacy Shield, welches als Nachfolger mit der heißen Nadel gestrickt war, ebenfalls nicht wirklich die ausreichenden Datenschutzgarantien i.S.d. DSGVO darstellen. Daher stellte Max Schrems die Rechtsmäßigkeit der ausreichenden Garantien auf Grundlage des Privacy Shields und der Standard Vertragsklauseln erneut in Frage. Die Datenschutzaufsichtsbehörde in Irland legte verschiedene Fragen in diesem Zusammenhang dem EuGH vor. Dies resultierte nun in dem sog. Schrems II Urteil des EuGH am 17.07.
Bisher galt das EU-US-Privacy-Shield Abkommen als ein sog. Adäquanzbeschluss zwischen den USA und der EU.
Das Privacy-Shield hatte bisher genügt, um ausreichende Garantien gem. Art. 46 DSGVO zu liefern. Somit konnte man relativ unkompliziert auf dessen Grundlage Daten mit US Unternehmen Austauschen, sofern diese dem Privacy Shield Abkommen beigetreten sind.
Mit manchen U.S. Unternehmen war es auch möglich EU-Standardvertragsklauseln (SCC) abzuschließen, also eine Art individuelle Vereinbarung, um das gleiche Datenschutzniveau herzustellen. Aber auch diese werden vom EuGH gewissermaßen in Frage gestellt und müssen dem Urteil nach einzeln geprüft werden.
Was bedeutet das in der Praxis? Ihre gesamte Datenübermittlung bzw. Datenverarbeitung von personenbezogenen Daten in den USA bzw. von US Unternehmen muss auf den Prüfstand gestellt werden. Vor allem, wenn die Rechtsgrundlage das EU-US-Privacy-Shield war, muss möglichst schnell auf die EU Standardvertragsklauseln zurückgegriffen werden. Und selbst mit den bisherigen SCCs ist nicht unbedingt das Schutzniveau garantiert und muss ebenfalls geprüft werden.
Sie müssen prüfen, welche Sie einsetzen z.B. Videokonferenz, Microsoft 365, Newsletter Dienste, Cloud Speicher, Hoster usw. die in den USA sind. Leider ist es auch bei uns so, dass wir aufgrund mangelnder europäischer Alternativen US Anbieter verwenden, aber jetzt wird es erheblich schwerer. Nehmen Sie das bitte ernst, da Sie Gefahr laufen illegale Datenverarbeitung in einem Drittland durchzuführen.
Sollte es mit dem Dienstleister lediglich möglich sein auf Grundlage des Privacy Shields einen Vertrag zu schließen, erwägen Sie das Vertragsverhältnis zu kündigen. Wenn möglich sollte versucht werden den Weg über die Standardvertragsklauseln zu wählen, sofern der Dienstleister aus den USA das anbietet. WICHTIG: Ist der US Dienstleister nicht in der Lage eine SCC mit Ihnen abzuschließen, dann sollten Sie das Vertragsverhältnis mit dem Dienstleister beenden.
Übrigens ist mit der Datenübermittlung in die USA nicht gemeint, wenn Sie z.B. Emails an US Anbieter versenden. Hier greift dann Art. 49 DSGVO in der unter manchen Umständen eine Datenübermittlung in Drittländer übermittelt werden kann ohne, dass ausreichenden Garantien vorliegen (das wäre z.B. auch beim Buchen von Hotels und Flügen der Fall).
Ob Sie nun die Standardvertragsklauseln abschließen, oder mit Einwilligungen arbeiten, oder andere Garantien schaffen können muss jetzt gut überlegt werden. Ich gehe davon aus, dass die EU schnell einen neuen Adäquanzbeschluss anstrebt, aber aufgrund der schwierigen Lage mit Corona, die Spannungen mit den USA und China und das doch eher kühle Verhältnis auch zur EU wird Entschließungen doch eher verzögern.