Das Privacy Shield ist tot

Privacy Shield ist tot

 

Mitten im Sommer hat der EuGH am 16.07.2020 ein folgenschweres Urteil verkündet

Manche erinnern sich vielleicht an eine ganz ähnliche Situation aus dem Jahr 2015, in dem das Safe-Harbour-Abkommen gekippt wurde. Wie damals hat auch dieses Mal der österreichische Datenschutzaktivist Max Schremms vor dem EuGH Recht bekommen. Auch nach diesem Urteil wird eine Verabeitung personenbezogener Daten, hauptsächlich in den USA, zu einem Problem. Betroffen sind aber auch Verarbeitungen in beispielsweise China, Russland oder Indien.

Im Kern hat der EuGH den Angemessenheitsbeschluss der EU-Komission zum EU-US-Datenschutzschild (Priavacy Shield) für ungültig erklärt. Aus Datenschutzsicht ist das durchaus zu befürworten, da sich kein US-Unternehmen gegen den staatlichen Zugriff auf die, bei ihm verarbeiteten Daten wehren kann. Praktisch ist das plötzliche „Aus“ aber ein riesiges Problem für viele Unternehmen und Webseitenbetreiber. Betroffen sind alle, die personenbezogene Daten in die USA übertragen, von der Einbindung vou Youtube-Videos und Google Fonts, über die  Nutzung von Newsletter- oder CRM-Anbietern, bis hin zu Office 365. Wenn es nach der Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk geht, sollten Nutzer von Diensten in den USA umgehend zu einen EU-Dienstleister oder zu einem Dienstleister in einem andern Land mit angemessenem Datenschutzniveau wechseln. Das ist einfach gesagt, aber leider schwer umzusetzen. In der EU finden sich für viele Anwendungen leider keine vergleichbaren Dienstleister.

Fakt ist dass die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield unzulässig ist und unverzüglich eingestellt werden muss.

Was sollten Sie jetzt tun?

Erst einmal eine Bestandsaufnahme machen.

  • Wo werden personenbezogene Daten in die USA übertragen?
  • Alle Auftragsverarbeitungsvereinbarungen auf Subunternehmer aus den USA prüfen.
  • Sichere Alternativen suchen und bei neuen Dienstleistern auf Datenverarbeitung außerhalb der USA achten.

Was haben Sie für Möglichkeiten, wenn Sie keine alternativen Anbieter finden?

Ehrlich gesagt kaum eine. Die möglichen Alternativen: Standardvertragsklauseln, Binding Corporate Rule, der Art. 49 DSGVO oder schlicht auf einen neuen Angemessenheitsbeschluss sind meiner Meinung nach leider keine wirkliche Alternative.

Im Einzelnen:

  • Standardvertragsklauseln sind von der EU vorgegebene Formulierungen für Verträge, die ein angemessenes Datenschutzniveau garantieren sollen. Die EU-Standardvertragsklauseln bleiben grundsätzlich gültig, reichen aber ohne zusätzliche Maßnahmen grundsätzlich nicht aus. Ob sich damit der Zugriff der Nachrichtendienste wirksam aushebeln lässt, ist zustzlich fraglich.
  • Für Binding Corporate Rules (BCR) gilt prinzipiell dasselbe.
  • Art. 49 DSGVO erlaubt die Übermittlung personenbezogener Daten ohne Angemessenheitsbeschluss, wenn die betroffene Person einwilligt und wenn sie  über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen infomiert werden. Aber kennen Sie alle möglichen Risken?
  • Der Art. 49 DSGVO eröffnet noch eine weitere Möglichkeit. Falls die Datenübertragung direkt oder indirekt für die  Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen notwendig ist, wäre sie statthaft. Zur Anwendung hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht. Die praktische Umsetzung ist aber nicht ganz trivial.
  • Auf einen neuen Angemessenheitsbeschluss zu warten, könnte auch etwas länger dauern. Das würde vorraussetzen, dass die USA die Zugriffsrechte auf die Daten einschränkt. Ob das mit der Trump-Administraton möglich ist, halte ich für sehr fraglich.

Das Urteil im Volltext ist hier zu finden: EuGH, Urteil vom 16.07.2020, Az.: C-311/18