Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) das Privacy Shield für ungültig erklärt, was direkte Auswirkung auf Geschäftsbeziehungen zwischen europäischen Unternehmen und ihren US-Geschäftspartnern haben kann, soweit personenbezogene Daten aus der EU in die USA übermittelt werden.

Hintergrund

Grundsätzlich ist gemäß der Datenschutzgrundverordnung („DSGVO“) die Übermittlung von personenbezogenen Daten an Empfänger in Drittländern nur zulässig, wenn im Drittland ein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten gewährleistet ist.

Was ist das Privacy Shield?

Um dieses angemessene Schutzniveau in den USA zu gewährleisten, trat 2016 das Privacy Shield in Kraft. Es stellt die Grundlage für die Übermittlung personenbezogener Daten aus der EU in die USA dar. Es wurde errichtet, nachdem dessen Vorgänger, das sog. „Safe Harbour“, vom EuGH 2015 für ungültig erklärt worden war. Das Privacy Shield basiert auf den Verhandlungen der Europäischen Kommision mit dem US-Handelsministerium, die durch den Durchführungsbeschluss 2016/1250 der Kommission vom 12. Juli 2016 materialisiert wurden.

Wie im Durchführungbeschluss dargestellt, beruht das Privacy Shield auf einem System der Selbstzertifizierung, wonach sich amerikanische Organisationen zu einem Katalog von Datenschutzgrundsätzen verpflichten, die vom US-Handelsministerium herausgegeben wurden. Basierend auf diesem System wurden personenbezogene Daten aus der EU in die USA übermittelt.

Ungültigkeit des Privacy Shields

Das EuGH hat nun festgestellt, das Privacy Shield gewährleiste kein angemessenes Schutzniveau für die personenbezogenen Daten aus der EU. Hauptgrund hierfür sind Regelungen der US-Sicherheitsgesetze, die bestimmten US-Behörden unter anderem das Recht gewähren, auf die übermittelten personenbezogenen Daten zuzugreifen, ohne den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe dagegen zur Verfügung zu stellen.

Folge der Ungültigerklärung ist, dass personenbezogene Daten nicht mehr einfach an Privacy-Shield-zertifizierte Unternehmen übermittelt werden können, sondern alternative Methoden für die Gewähleistung des angemessenen Schutzniveaus angewendet werden müssen.

Standarddatenschutzklauseln

Das EuGH hat die betroffenen Unternehmen nicht ganz ohne Alternative gelassen, sondern im Urteil ausdrücklich unter bestimmten Bedingungen die Anwendung von Standarddatenschutzklauseln anerkannt.
Standarddatenschutzklauseln sind in Art. 46 Abs. 2 lit. c der DSGVO vorgesehen und stellen von der Kommission ausgearbeitete Vertragsklauseln dar, die unverändert in den Vertrag zwischen dem Datenexporteur und dem Datenimporteur übernommen werden müssen. Nur in diesem Fall kann von einer Genehmigung der zuständigen Datenschutzbehörde bezüglich der Datenübermittlung abgesehen werden.

Problematisch bleibt allerdings bei der Nutzung der Stardarddatenschutzklauseln, dass der EuGH dem Datenexporteur eine Pflicht auferlegt, im Einzelfall zu bestimmen, ob tatsächlich ein angemessenes Schutzniveau vorliegt. Dies führt teilweise zu erheblicher Rechtsunsicherheit, da die Kriterien für diese Einzelfallprüfung nicht abschließend bestimmt wurden.

Insbesondere dürften die Anwendung der Standarddatenschutzklauseln den Hauptgrund für die Ungültigerklärung nicht beheben: die US-Sicherheitsgesetze, die die Pflicht zur Offenlegung bestimmter personenbezogenen Daten regeln, bleiben weiterhin bestehen und gelten gleichermaßen auch bei der Anwendung von Stardarddatenschutzklauseln. Somit kann der Datenimporteur nicht das angemessene Schutzniveau, das in den Stardarddatenschutzklauseln vorgesehen ist, gewährleisten. Der Datenschutzexporteur müsste somit von der Übertragung personenbezogener Daten absehen.

Fazit

Diese Entscheidung hat wesentliche Auswirkungen auf die Geschäftsbeziehungen zwischen EU-Unternehmen und US-Unternehmen, die einerseits nicht ihre Geschäftsbeziehungen und vertragliche Pflichten einfach aussetzen können, andererseits aber der durch die Ungültigerklärung des Privacy Shields ausgelösten Rechtsunsicherheit sowie Risiken und Sanktionen ausgesetzt sind.

Auch wenn die Nutzung der Stardarddatenschutzklauseln keinen umfangreichen Schutz gewährleistet, sollten die Unternehmen sicherstellen, dass diese verwendet und beachtet werden. Auch Maßnahmen wie die der Datenminimierung sollten jetzt umso mehr angewendet werden.

Zusätzlich sollten abhängig vom Einzelfall und von den personenbezogenen Daten auch andere Prüfungen in Betracht gezogen und die damit verbundenen Risiken analysiert und womöglich reduziert werden. Dies ist zwar unausweichlich mit der Einbindung von wesentlichen Ressourcen verbunden, allerdings sind die drohenden Geldbußen erheblich. Wir gehen davon aus, dass es sich hierbei um einen vorübergehenden Zustand handelt und dass die EU und US Behörden eine praktische Lösung finden werden.

Kontakt und weitere Informationen:

STALFORT Legal. Tax. Audit.

Bukarest – Sibiu – Bistrița
Büro  Bukarest:
Tel.:       +40 – 21 – 301 03 53
Fax.:       +40 – 21 – 315 78 36
E-Mail:  bukarest@stalfort.ro
www.stalfort.ro