Lesezeit: 4 Min
Datenschutzvereinbarung zwischen EU und den USA ist ungültig
„Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig.“
Quelle: Gerichtshof der Europäischen Union – PRESSEMITTEILUNG Nr.91/20Luxemburg, den 16.Juli 2020
Für einige Firmen war bisher die sogenannte Privacy Shield-Vereinbarung eine rechtlich abgesicherte Möglichkeit, Daten von der EU in die USA zu übermitteln. Diese wurde am 16.07.2020 durch ein Urteil vom EuGH vorerst gekippt.
Was ist die Privacy-Shield-Vereinbarung? Wofür wird sie genutzt und was könnte das EuGH-Urteil jetzt für Unternehmen bedeuten. In unserem Datenschutz-Blog möchten wir kurz einen Überblick auf die Regelung, das Urteil und die möglichen Folgen für Unternehmen geben.
Dieser Artikel von Datenschutzberater.NRW dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Benötigen Sie Hilfe bei der Umsetzung der Einhaltung der DS-GVO? Senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen im Datenschutz in Köln, Bonn, Düsseldorf, Siegen und ganz NRW.
Privacy Shield erfüllt nicht die Vorgaben des europäischen Datenschutzes
Laut dem Europäischen Gerichtshof (EuGH) erfüllt die Vereinbarung, die zwischen der EU und den USA getroffen wurde, nicht die Vorgaben des Datenschutzstandards, der in der DS-GVO festgelegt wurde. Das gab der EuGH in seinem Urteil am 16.07.2020 bekannt.
Nach der Begründung der Richter sei die Vereinbarung nicht als einem der Unionsrecht gleichwertigen Datenschutz zu sehen. Das bedeutet, dass der EuGH entschieden hat, dass der Privacy Shield nicht mit der gültigen EU-Datenschutzgrundverordnung gleich zu setzen ist. Er erfüllt also nicht die gleichen gesetzlichen Grundlagen für den Datenschutz personenbezogener Daten – diese sind durch den Privacy Shield nicht genauso geschützt, wie durch die DS-GVO.
Dies liegt vor allem darin begründet, dass in den USA zum Beispiel zur Wahrung der nationalen Sicherheit, Geheimdienste oder andere Einrichtungen Zugriff auf die Daten der Betroffenen bekommen. Das gilt natürlich auch für die Daten europäischer Bürger. Diese Überwachungssysteme der USA seien, so der EuGH, als unverhältnismäßig einzustufen. Diese Vorgehensweise entspricht nicht den Standards der EU-DS-GVO. Außerdem haben die EU-Bürger in den USA keine ausreichenden Rechtschutzmöglichkeiten, nach der Einschätzung des EuGHs.
Was ist der Privacy Shield?
„Der EU-US Privacy Shield (auch EU-US-Datenschutzschild) ist eine informelle Absprache auf dem Gebiet des Datenschutzrechts, die von 2015 bis 2016 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurde. Sie besteht aus einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung und einem Angemessenheitsbeschluss der EU-Kommission.“
Quelle: Wikipedia
Bei dem Privacy Shield handelt es sich also um eine Datenschutzvereinbarung zwischen der EU und den USA. Diese musste neu verhandelt werden, nachdem bereits das sogenannte Safe-Harbor-Abkommen durch den Europäischen Gerichtshof für ungültig erklärt wurde. In Kraft trat der Privacy Shield 2016 durch einen Angemessenheitsbeschluss der EU-Kommission, welcher durch das Urteil des EuGHs nun seine Gültigkeit verloren hat.
Die EU-Datenschutzgrundverordnung, kurz DS-GVO, regelt den Datenschutz personenbezogener Daten in den Ländern der EU. Dabei wurden Vorgaben festgelegt, die teilweise durch Öffnungen und damit Anpassungen in den einzelnen Ländern, für die Verarbeitung und Erfassung personenbezogener Daten gelten.
Da die DS-GVO nicht für Länder außerhalb der EU gilt, wurden mit einzelnen Ländern Datenschutzvereinbarungen getroffen, die belegen und sicherstellen, dass der Datenschutz das gleiche Niveau wie in der DS-GVO hat. Der Privacy Shield sollte das entsprechend für den Datentransfer von der EU zu Firmen in den USA belegen. Unternehmen, die diese Vorgaben nutzen, müssen den entsprechenden Umgang mit den Daten der Betroffenen belegen.
Wie kam es zu dem Urteil?
Datenschützer hatten schon lange bemängelt, dass die Datenschutzvorgaben in den USA nicht den Ansprüchen des Europäischen Datenschutzes entsprechen und dass eine Einhaltung des Datenschutzes durch die gesetzlichen Grundlagen nicht möglich sei. So könnten Geheimdienst und andere Einrichtungen weitreichender als in der EU auf personenbezogene Daten zugreifen. Auch sonst seien die Daten weniger ausreichend vor Missbrauch geschützt.
Durch eine Beschwerde eines österreichischen Datenschützers wegen der Datenweitergabe eines Social-Media-Anbieters von Irland in die USA bei der irischen Aufsichtsbehörde, wurde der Stein ins Rollen gebracht. Diese hatte sich an den EuGH gewandt, um dessen Einschätzung zu erhalten. Das Urteil wurde mit Spannung erwartet.
Kein ausreichender Schutz durch eingesetzte Ombudspersonen –
EU-Standardvertragsklauseln behalten Gültigkeit
Ombudspersonen wurden zum Schutz und die Einhaltung der Rechte der Betroffenen in den USA eingesetzt. Der EuGH bezweifelt in seinem Urteil aber deren Wirksamkeit und die Möglichkeit, dass diese auch entsprechend frei eingreifen können.
Das Risiko für Betroffene schätzt der EuGH auch bei den häufiger genutzten EU-Standardvertragsklauseln ähnlich ein. Da die Schutzmechanismen in den EU-Standardvertragsklauseln nach Einschätzung des EuGHs nach Bedarf erweiterbar sind, werden diese nicht als ungültig erklärt. Voraussetzung dafür ist allerdings, dass die Datenschutzvorgaben im Empfängerland entsprechend gewährleistet sind.
Welche Konsequenzen hat das EuGH-Urteil für Unternehmen?
Unternehmen, die auf die Datenübermittlung in die USA angewiesen sind, kritisieren die Entscheidung des EuGHs. Eine Datenübermittlung mit dem Privacy Shield ist somit nicht mehr rechtmäßig. Das stellt diese vor die Herausforderung, dass jener Datenschutz für die Übermittlung von Daten in die USA, der bisher über diese Vereinbarung geregelt wurde, nun nicht mehr als ausreichend angesehen wird. Wie sollen die Daten nun übermittelt werden, können überhaupt noch Daten übermittelt werden?
Nach dem Urteil des EuGHs kann derzeit davon ausgegangen werden, dass eine weitere Nutzung des Privacy Shield Bußgelder für Unternehmen mit sich bringen wird. Betroffene Unternehmen sollten entsprechende Alternativen prüfen. Die Folgen des Urteils sind noch nicht weiter absehbar.
Wenn Sie eine Beratung im Bereich Datenschutz benötigen, dann nehmen Sie gerne Kontakt mit uns auf. Datenschutzberater.NRW betreut Sie gerne im Bereich Datenschutz und bietet u.a. folgende Angebote für Ihr Unternehmen:
- Externen Datenschutzbeauftragten (TÜV) für den Raum Köln, Bonn, Düsseldorf, Siegen und ganz NRW
- Datenschutz-Erstberatung
- Datenschutz-Audit
- Projektbezogene Betreuung im Datenschutz für NRW
- IT-Audit
- GoBD-Beratung
- Website-Scans für eine DS-GVO-konforme Homepage
- Mitarbeiterschulungen für die Umsetzung der DS-GVO in NRW
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.