Das EuGH-Urteil zum EU-US-Privacy Shield

Das EuGH-Urteil zum EU-US-Privacy Shield

21. Juni 2021

Seit dem 16. Juli 2020 gilt der „Deal“, auf den sich die EU und die USA 2016 geeinigt hatten, nicht mehr. Bis dato waren wir nämlich in dem Glauben gelassen, dass der Datentransfer von Europa in die USA unter dem Schutz des „Privacy Shield“ abläuft. Dieses Abkommen erklärte der Europäische Gerichtshof (EuGH) nun allerdings für ungültig.

Was war das EU-US-Privacy Shield?

Laut Wikipedia wird der Beschluss wie folgt erklärt:

„Der EU-US Privacy Shield (auch EU-US-Datenschutzschild) ist eine informelle Absprache auf dem Gebiet des Datenschutzrechts, die von 2015 bis 2016 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurde. Sie besteht aus einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung und einem Angemessenheitsbeschluss der EU-Kommission. Die Kommission hatte am 12. Juli 2016 beschlossen, dass die Vorgaben des Datenschutzschilds dem Datenschutzniveau der Europäischen Union entsprechen; seitdem kann das Übereinkommen angewendet werden. Die Absprache regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Sie war notwendig geworden, nachdem der Europäische Gerichtshof (EuGH) im Oktober 2015 die bis dahin angewendete Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärt hatte.“

Im Prinzip ist es die Aufgabe der transferierenden Unternehmen, dafür Sorge zu tragen, dass sämtliche Daten europäischer Verbraucher am Ziel nach europäischen Datenschutzstandards bzw. DS-GVO-konform gespeichert und verarbeitet werden. Die EU-Kommission prüft dazu die einzelnen Staaten. Wenn diese ein vergleichbares Datenschutzniveau aufweisen können, wird das jeweils in einem Angemessenheitsbeschluss erklärt. Derzeit gelten Andorra, Argentinien, die Faröer Inseln, Guernsey, die Isle of Man, Israel, Japan, Jersey, Kanada, Neuseeland, die Schweiz und Uruguay zu den sogenannten sicheren Drittstaaten (Staaten außerhalb des Europäischen Wirtschaftsraums/EWR), in die die Datenübermittlung ohne Bedenken gestattet ist. Bei Datenübermittlungen innerhalb der EU werden keine zusätzlichen Anforderungen gestellt. Hier und auch in den EWR-Staaten regelt die DS-GVO den Datenschutz.

Die Vereinigten Staaten gehören ganz eindeutig nicht dazu. Dort gewährt nämlich der Staat auf Grundlage der Gesetzgebung sowohl Ermittlungsbehörden als auch Geheimdiensten kaum zu kontrollierenden Zugriff auf persönliche Daten von EU-Bürgern und auch auf solche Daten, die in europäischen Rechenzentren von US-amerikanischen Unternehmen gelagert sind. Außerdem haben Europäer keine Klagemöglichkeit, wenn sie eine missbräuchliche Nutzung ihrer personenbezogenen Informationen annehmen.

Damit aber dennoch Daten in die USA und an US-Konzerne gelangen konnten, entschied die EU-Kommission im „Safe Harbor“-Abkommen (engl. für sicherer Hafen) aus dem Jahr 2000 bestimmte Regelungen zum Thema Datenschutzrecht. Dieses wurde jedoch bereits am 06. Oktober 2015 vom EuGH wieder für ungültig erklärt. Auslöser hierfür war eine Klage des damaligen Jura-Studenten Max Schrems, der seine persönlichen Daten (speziell in Bezug auf die Nutzung von Facebook) unzureichend durch das US-Recht geschützt sah. Als Nachfolgeregelung konnte schließlich ab dem 01. August 2016 das EU-US-Privacy Shield angewendet werden.

Folgen des Urteils

In den Vereinigten Staaten lagen die Daten der EU-Bürger dagegen weiterhin ungesichert in den US-Rechenzentren und boten den dortigen Behörden und Geheimdiensten somit immer noch praktisch ungehemmten Zugang. Auch Facebook übermittelte weiterhin auf Grundlage von Standardvertragsklauseln und dem EU-US-Privacy Shield Daten in die USA. Max Schrems klagte erneut. Denn er sah europäische Daten ebenso nicht vor dem Zugriff der US-Geheimdienste geschützt. Auch dieses Abkommen gilt schließlich seit Mitte dieses Jahres nicht mehr.

Folglich besteht derzeit in vielen Unternehmen beidseitig des Atlantiks Ratlosigkeit. Dürfen Namen, E-Mails, Fotos, Daten etc. noch übermittelt und verarbeitet werden? Wenn nicht, würde das das Aus für zahllose Tools und Dienste bedeuten, die gegenwärtig auf deutschen und europäischen Webseiten genutzt werden. Darunter zählen auch große bekannte Namen wie Amazon, Microsoft und Google.

Laut einem Interview der Computerzeitschrift c’t mit dem Bundesbeauftragten für den Datenschutz Ulrich Kelber dürfte in vielen Fällen die Übermittlung persönlicher Daten wahrscheinlich weiter möglich sein. Voraussetzung sei jedoch, dass gewisse zusätzliche Sicherungsmaßnahmen durchgeführt werden müssen. Wie diese Maßnahmen nun im Speziellen aussehen, würde von den jeweiligen Bereichen abhängen. So böte sich beispielsweise für einfache Datenspeicherungen eine Verschlüsselung an, während bei anderen Geschäftsmodellen eine Pseudonymisierung denkbar wäre. Eventuell wäre es auch möglich, dass Treuhänder aus der EU die Daten im Auftrag der US-Unternehmen so verarbeiten, dass US-Sicherheitsbehörden keinen Zugriff mehr hätten. Laut Ulrich Kelber müssten die Vereinigten Staaten endlich begreifen, dass EU-Bürger nicht weniger Rechte hätten, als Staatsangehörige der USA. Behörden, die Zugang auf persönliche Daten haben, müssen die Betroffenen darüber auch in Kenntnis setzen. (c’t Ausgabe Nr. 21, 26.09.2020).

Konsequenzen aus dem Wegfall des EU-US-Privacy Shields für Unternehmen, die personenbezogene Daten in die USA übermitteln

Alle Firmen sollten zuerst einmal sämtliche Verarbeitungsvorgänge daraufhin überprüfen, ob Daten in die USA gelangen.

Beziehen sich die Unternehmen hinsichtlich des Datentransfers noch auf das Privacy Shield, müssen sie diesen sofort stoppen und dringend ihre Datenschutzerklärungen überarbeiten.

Ebenso ungewiss ist der Einsatz der Standardschutzklauseln. Sie sollen unter anderem garantieren, dass sich sowohl der Datenexporteur als auch der Datenimporteur dazu verpflichten, die Daten nach Maßgabe gewisser Datenschutzgrundsätze zu verarbeiten. Darüber hinaus beinhaltet der Vertragstext eine gesamtschuldnerische Haftung gegenüber dem Betroffenen. Entscheidend dabei ist, wie es die für die Firmen jeweils verantwortlichen Aufsichtsbehörden sehen. In Deutschland sind die Landesdatenschutzbehörden dafür zuständig.

Nur wenn ein ausreichendes Schutzniveau gewährleistet werden kann, können sich die Unternehmen auf die Standardschutzklauseln berufen. So könnten beispielsweise sämtliche Daten vor dem Transfer insoweit verschlüsselt werden, dass den US-Behörden jeglicher Zugriff darauf verwehrt bleibt.

Es liegt also in der Verantwortung des Datenexporteurs (und gegebenenfalls auch des Datenimporteurs), zu prüfen, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der EU genießen.

Im Einzelfall müssen eventuell zusätzliche Maßnahmen ergriffen werden, um ein Schutzniveau zu gewährleisten, das dem in der EU ebenbürtig ist.

Wenn sich die Firmen nicht an das EuGH-Urteil halten, drohen ihnen Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu 4 Prozent des global erzielten Gesamtjahresumsatzes des Mutterkonzerns im vorangegangenen Geschäftsjahr.

Im Übrigen soll noch erwähnt sein, dass die Übermittlung von eigenen persönlichen Informationen in die USA von dem Urteil nicht betroffen ist. Hier gilt das Recht auf eigenen Willen und der sogenannten informationellen Selbstbestimmung.

 

Meine Quellen:

https://www.heise.de/select/ct/2020/21/2014911051564773556 

https://www.gdd.de/aktuelles/startseite/handlungsempfehlung-gdd-eugh-eu-us-privacy-shield-SCC 

https://datenschutz-generator.de/eugh-privacy-shield-unwirksam/ 

https://www.dids.de/2020/09/28/in-der-sackgasse-internationaler-datenschutz-mit-der-ds-gvo/ 

https://www.e-recht24.de/artikel/datenschutz/12236-eugh-erklaert-privacy-shield-fuer-ungueltig.html 

https://www.sueddeutsche.de/digital/privacy-shield-eugh-urteil-amazon-microsoft-1.4976977 

 

Autorin: Aline Neißner