Mitgliederbereich

Bitte geben Sie Ihre E-Mail-Adresse und Ihr Passwort ein um sich im Mitgliederbereich anzumelden.
 

EuGH kippt den EU-US Privacy Shield

Standarddatenschutzklauseln müssen von der Aufsicht geprüft werden

17. Juli 2020

Der EuGH stellte mit Urteil vom 16.07.2020 fest, dass der

A. EU-US-Privacy-Shield nicht den Anforderungen der DS-GVO sowie der EU-Grundrechtecharta entspricht und erklärt diesen für ungültig (C-311/18).

Der Privacy-Shield-Beschluss 2016/1250 räume den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung amerikanischen Rechts Vorrang ein. Eingriffe in die Grundrechte der Personen würden ermöglicht, die in die USA übermittelt werden. Die auf das amerikanische Recht gestützten Überwachungsprogramme seien nicht auf das zwingend erforderliche Maß beschränkt und entsprächen nicht dem Grundsatz der Verhältnismäßigkeit nach dem EU-Recht. Es gäbe keine Garantien für Nichtamerikaner. Betroffene Personen, die nicht amerikanische Staatsbürger sind, hätten keine Rechte, um gegenüber amerikanischen Behörden gerichtlich vorzugehen.

Der Beschluss 2010/87 der Kommission über

B. Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländer sei hingegen „noch“ gültig

und deren Vereinbarung zwischen Auftraggeber und Auftragnehmer führe  „noch“ zu einem gleichwertigen Datenschutzniveau vergleichbar der DS-GVO und der EU-Grundrechtecharta.

Wenn die Standarddatenschutzklauseln in einem Land nicht eingehalten werden, haben die Datenschutzaufsichtsbehörden die Pflicht eine Übermittlung in ein solches Drittland auszusetzen und zu verbieten.

Urteil EuGH 16.07.2020 EU-US-Datenschutzschild nicht angemessen und ungültig

C. Was ist zu tun, nachdem der EU-US-Privacy -Shield ungültig ist?

1. Unternehmen müssen dieses Urteil nun anwenden und sollten zunächst auf die Standardatenschutzklauseln zurückgreifen und diese mit Microsoft & Co. vereinbaren, falls dies bisher noch nicht geschehen ist, da der EU-USA-Privacy Shield nicht mehr gültig ist (Verlinkung zu den Mustern der Standarddatenschutzklauseln).

2. Die Aufsichtsbehörden müssen prüfen, ob ihnen dies reicht und ob in den jeweiligen Staaten, wie den USA, ein angemessenes Datenschutzniveau mithilfe dieser Vereinbarungen erreicht werden kann.

Der Thüringer Datenschutzbeauftragte kündigt bereits an, dass er nicht wisse, wie er mit Hinblick auf die USA noch zu einem datenschutzkonformen Prüfergebnis kommen soll.

200716_pressemitteilung Thüringer Landesbeauftragte für Datenschutz

Danach sind die Standarddatenschutzklauseln auch nicht mehr als Absicherung eines angemessenen Datenschutzniveaus für Übermittlungen in die USA hilfreich (so auch der Hamburgische Datenschutzbeauftragte).

Der Sächsische Datenschutzbeauftragte hat noch keine Äußerung zu diesem Thema abgegeben.

Wir raten dennoch dazu auf die Standarddatenschutzklauseln zunächst umzuschwenken, da sie formal bei einer unveränderten Verwendung bis zur Untersagung oder Aussetzung durch die zuständige Datenschutzaufsicht zu einer genehmigungsfreien Datenübermittlung in die USA berechtigen.

3. Individuelle informierte Einwilligungen von Betroffenen nach Art. 49 DS-GVO sind ebenfalls denkbar, sind aber jederzeit widerrufbar und müssten von allen natürlichen Personen, die betroffen sind, einzeln vom Verantwortlichen eingeholt werden. Aus unserer Sicht ist diese Lösung nur sehr schwer für Unternehmen umsetzbar, wenn es sich nicht um eine Einzelübertragung von personenbezogenen Daten handelt.

4. Verbindliche interne Datenschutzrichtlinien (Binding Corporate Rules) können individuell entworfen und vereinbart werden. Bedürfen aber der vorherigen Überprüfung durch die Datenschutzaufsicht. Zeiträume von 1-2 Jahren sind hierfür einzuplanen. Diese Lösung ist aus unserer Sicht nicht praktikabel.

Wenn Sie Interesse an einer Fortbildung zu diesem Thema und der

Erfüllung der Weiterbildungspflicht nach § 15b MaBV

haben, nutzen Sie sich doch unser

Seminar- und Webinarangebot für die Wohnungswirtschaft .

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)