Privacy-Shield gekippt

Der von vielen bereits erwartete Paukenschlag des Europäischen Gerichtshofs (EuGH) ist da. Laut der am 16.07.2020 veröffentlichten Pressemitteilung des Gerichts, hat dieses das EU-U.S.-Privacy-Shield gekippt. Damit dürften Millionen von Datenübertragungen quasi „über Nacht“ rechtswidrig werden. Was das rechtlich genau bedeutet und was Unternehmen jetzt tun sollten, erfahren Sie in diesem Artikel.

von Rechtsanwalt Nick Akinci

Was bedeutet Privacy-Shield?

Beim Privacy-Shield handelt es sich um ein Abkommen zwischen der Europäischen Union und den USA. Es stellt ein datenschutzrechtliches Regelwerk dar, welchem sich U.S.-amerikanische Unternehmen unterwerfen können, um ein angemessenes Datenschutzniveau zu garantieren.

Hintergrund ist, dass Datenübertragungen aus der Europäischen Union in sogenannte Drittstaaten nach den Bestimmungen der Datenschutzgrundverordnung (DSGVO) nicht ohne Weiteres rechtmäßig sind. Nach der DSGVO ist die Übertragung von personenbezogenen Daten in Länder außerhalb der EU nur dann rechtmäßig, wenn das jeweilige Land ein angemessenes Datenschutzniveau aufweist, dass dem Niveau in der Europäischen Union entspricht. Ob ein Land dieses erforderliche Niveau aufweist, kann die Europäische Kommission per Beschluss feststellen. Im Fall der USA erließ die Kommission im Jahr 2016 einen entsprechenden Angemessenheitsbeschluss, nach dem für Verarbeitungen von personenbezogenen Daten unter Einhaltung der Regelungen des Privacy-Shields in den USA ein angemessenes Schutzniveau gewährleistet sei.

Seitdem konnte man, solange sich das datenempfangende Unternehmen in den USA dem Privacy-Shield unterworfen hatte, unter Berufung auf den Angemessenheitsbeschluss rechtmäßig Daten aus der EU in die USA übertragen. So haben sich in der Vergangenheit beispielsweise viele Unternehmen bei Datenübertragungen an Google auf den Beschluss gestützt. Dies ist nun durch das Urteil des EuGH nicht mehr möglich.

Was genau hat der EuGH entschieden?

Der EuGH hat in seinem Urteil festgestellt, dass der Angemessenheitsbeschluss zum Privacy-Shield aus dem Jahr 2016 ungültig ist. Zur Begründung führte der Gerichtshof an, dass trotz der Regelungen des Privacy-Shield-Abkommens von einem angemessenen Datenschutzniveau in den USA nicht die Rede sein könne. Die Grundrechte der von den in den USA stattfindenden Datenverarbeitungen betroffenen Personen seien nicht ausreichend geschützt. Dies sei insbesondere deshalb der Fall, weil – vereinfacht gesagt – U.S.-amerikanische Behörden im Zweifel auf personenbezogene Daten von U.S.-Ausländern zugreifen dürften.

Gleichzeitig hat der EuGH aber auch entschieden, dass die rechtmäßige Übertragung in die USA, wie auch schon zuvor, unter Verwendung sogenannter EU-Standardvertragsklauseln möglich ist. Bei den Standardvertragsklauseln handelt es sich – wie der Name schon erahnen lässt – um eine Art Mustervertrag, in welchem sich die datenempfangende Stelle in einem Drittland zur Einhaltung eines gewissen Datenschutzniveaus verpflichtet.

Müssen Unternehmen jetzt aktiv werden?

Wenn Ihr Unternehmen regelmäßig personenbezogene Daten in die USA übermittelt, sollte genau geprüft werden, ob die Übertragung noch rechtmäßig ist. Haben Sie sich bei der Übermittlung ausschließlich auf das Privacy-Shield-Abkommen gestützt, so besteht akuter Handlungsbedarf. Auch der konzerninterne Datenaustausch über die Grenzen der EU hinaus kann betroffen sein.

Was kann schlimmstenfalls passieren?

Werden die Voraussetzungen für eine rechtmäßige Übertragung von personenbezogenen Daten in die USA nicht erfüllt, so stellt dies einen bußgeldbewährten Verstoß gegen die DSGVO dar. Ein solches Bußgeld kann bis 20.000.000,00 Euro oder bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens betragen. Insbesondere in Deutschland haben sich die Aufsichtsbehörden auf ein großzügiges Berechnungsmodell geeinigt, wonach deutlich höhere Bußgelder als in anderen Europäischen Ländern zu erwarten sind.

Wenn Sie Fragen zu diesem Thema haben oder Beratung im Bereich des Datenschutzrechts benötigen, sprechen Sie uns gerne an! Sie erreichen uns telefonisch unter 0511 374 98 150 oder per E-Mail unter kontakt@recht-im-internet.de.