Der EUGH hat Privacy Shield gekippt!
Der EUGH hat das Privacy Shield gekippt!
Sie haben es bestimmt gestern der Presse entnommen: der EuGH hat durch seine Entscheidung zum Privacy-Shield, die Rechte aller Betroffenen im internationalen Datentransfer gestärkt.
Er erklärt den Angemessenheitsbeschluss für das Privacy-Shield für nichtig.
Lesen Sie hier die Pressemitteilung vom 16.07.2020
curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
Wen es interessieren sollte
Jedes Unternehmen, welches personenbezogene Daten in die USA übermittelt.
Hier sind insbesondere die US-amerikanischen Anbieter von Videokonferenzsystemen zu nennen aber auch Anbieter wie Amazon, mit der Amazon Cloud oder Microsoft mit den Office-Produkten sind davon betroffen.
Fragestellung
Ist die Datenübermittlung von perosonenbezogenen Daten in die USA weiterhin datenschutzkonform möglich?
Antwort
Ja, aber Sie müssen zumindest Ihre bestehenden Dienstverträge prüfen und ggf. anpassen.
Im Rahmen der DSGVO dürfen Daten nur dann in Drittländer übermittelt werden, wenn ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder durch seine internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet.
Dieses muss durch die EU-Kommission festgestellt werden.
Liegt ein solcher Angemessenheitsbeschluss nicht vor, darf die Übermittlung nur erfolgen, wenn geeignete Garantien, wie z.B. die Standarddatenschutzklauseln, in den Verträgen vereinbart sind und auch durchgesetzt werden können.
Mit seinem am 16.07.2020 verkündeten Urteil stellt der Gerichtshof fest, dass der Angemessenheitsbeschluss 2016/1250 nichtig ist.
Hingegen ist der Beschluss 2010/87 über die Standarddatenschutzklauseln weiterhin gültig und die Standarddatenschutzklauseln bleiben den Organisationen als Grundlage für eine Datenübermittlung in Drittstaaten erhalten.
Fazit
Der EuGH stellt klar, dass die Übermittlung von personenbezogene Daten in die USA zu unterlassen ist, wenn weder Standarddatenschutzklauseln noch andere Garantien in den Verträgen vorhanden oder gegeben sind.
Wie die Datenschutzbehörden darauf reagieren ist aktuell noch nicht abzusehen.
Wir empfehlen jedoch dringend Ihre Dienstverträge entsprechend den Handlungsempfehlungen zu überprüfen, da sonst erhebliche Bußgeldrisiken im Raum stehen.
Sehen Sie hier die Experten-Diskussion
Der EUGH hat nun entschieden, dass die USA über kein angemessenes Datenschutzniveau verfügen und die Privacy-Shield-Vereinbarung für Datenübermittlungen nicht mehr anwendbar ist.
Unser Experte Stephan Rehfeld diskutiert für niedersachsen.digital mit anderen Experten die Auswirkungen der EUGH-Entscheidung zum Privacy Shield und gibt erste Handlungsempfehlungen.
Das Interview kann auf Youtube gestreamt werden.
Hintergrund und weiterführende Links
Hier finden Sie die Pressemitteilung: Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit
curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber hat sich auch schon zu dem Urteil geäußert:
www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/17_Schrems-II-Urteil.html
Der Privacy Shield und der ehemalige Safe Harbour-Beschluss
Der EU-US Privacy Shield ist eine informelle Absprache auf dem Gebiet des Datenschutzrechts. Sie besteht aus einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung und einem Angemessenheitsbeschluss der EU-Kommission.
Die EU-Kommission hatte am 12.06.2016 beschlossen, dass die Vorgaben des Privacy-Shield dem Datenschutzniveau der Europäischen Union entsprechen, so dass dieses Abkommen zur Absicherung von Datenübermittlungen in die USA genutzt werden konnte.
Das Privacy-Shield-Abkommen war notwendig geworden, nachdem der Europäische Gerichtshof im Oktober 2015 die bis dahin angewendete Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärt hatte.
Die Standarddatenschutzklauseln
Existiert für ein Drittland kein Angemessenheitsbeschluss, kann die Übermittlung personenbezogener Daten in ein Drittland gleichwohl unter den Voraussetzungen des Art. 46 DS-GVO (Verweis auf die Standarddatenschutzklauseln) zulässig sein.
Hiernach darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
Als solche geeigneten Garantien kommen insbesondere von der EU-Kommission genehmigte Standarddatenschutzklauseln (früher: Standardvertragsklauseln) in Betracht, Art. 46 Abs. 2 lit. c) DS-GVO.
