Categories: Allgemein

EuGH kippt Privacy-Shield, was nun?

Der von vielen bereits erwartete Paukenschlag des Europäischen Gerichtshofs (EuGH) ist da. Laut der am 16.07.2020 veröffentlichten Pressemitteilung des Gerichts, hat dieses das EU-U.S.-Privacy-Shield gekippt. Damit dürften Millionen von Datenübertragungen quasi „über Nacht“ rechtswidrig werden. Was das rechtlich genau bedeutet und was Unternehmen jetzt tun sollten, erfahren Sie in diesem Artikel.

von Rechtsanwalt Nick Akinci

Was bedeutet Privacy-Shield?

Beim Privacy-Shield handelt es sich um ein Abkommen zwischen der Europäischen Union und den USA. Es stellt ein datenschutzrechtliches Regelwerk dar, welchem sich U.S.-amerikanische Unternehmen unterwerfen können, um ein angemessenes Datenschutzniveau zu garantieren.

Hintergrund ist, dass Datenübertragungen aus der Europäischen Union in sogenannte Drittstaaten nach den Bestimmungen der Datenschutzgrundverordnung (DSGVO) nicht ohne Weiteres rechtmäßig sind. Nach der DSGVO ist die Übertragung von personenbezogenen Daten in Länder außerhalb der EU nur dann rechtmäßig, wenn das jeweilige Land ein angemessenes Datenschutzniveau aufweist, dass dem Niveau in der Europäischen Union entspricht. Ob ein Land dieses erforderliche Niveau aufweist, kann die Europäische Kommission per Beschluss feststellen. Im Fall der USA erließ die Kommission im Jahr 2016 einen entsprechenden Angemessenheitsbeschluss, nach dem für Verarbeitungen von personenbezogenen Daten unter Einhaltung der Regelungen des Privacy-Shields in den USA ein angemessenes Schutzniveau gewährleistet sei.

Seitdem konnte man, solange sich das datenempfangende Unternehmen in den USA dem Privacy-Shield unterworfen hatte, unter Berufung auf den Angemessenheitsbeschluss rechtmäßig Daten aus der EU in die USA übertragen. So haben sich in der Vergangenheit beispielsweise viele Unternehmen bei Datenübertragungen an Google auf den Beschluss gestützt. Dies ist nun durch das Urteil des EuGH nicht mehr möglich.

Was genau hat der EuGH entschieden?

Der EuGH hat in seinem Urteil festgestellt, dass der Angemessenheitsbeschluss zum Privacy-Shield aus dem Jahr 2016 ungültig ist. Zur Begründung führte der Gerichtshof an, dass trotz der Regelungen des Privacy-Shield-Abkommens von einem angemessenen Datenschutzniveau in den USA nicht die Rede sein könne. Die Grundrechte der von den in den USA stattfindenden Datenverarbeitungen betroffenen Personen seien nicht ausreichend geschützt. Dies sei insbesondere deshalb der Fall, weil – vereinfacht gesagt – U.S.-amerikanische Behörden im Zweifel auf personenbezogene Daten von U.S.-Ausländern zugreifen dürften.

Gleichzeitig hat der EuGH aber auch entschieden, dass die rechtmäßige Übertragung in die USA, wie auch schon zuvor, unter Verwendung sogenannter EU-Standardvertragsklauseln möglich ist. Bei den Standardvertragsklauseln handelt es sich – wie der Name schon erahnen lässt – um eine Art Mustervertrag, in welchem sich die datenempfangende Stelle in einem Drittland zur Einhaltung eines gewissen Datenschutzniveaus verpflichtet.

Müssen Unternehmen jetzt aktiv werden?

Wenn Ihr Unternehmen regelmäßig personenbezogene Daten in die USA übermittelt, sollte genau geprüft werden, ob die Übertragung noch rechtmäßig ist. Haben Sie sich bei der Übermittlung ausschließlich auf das Privacy-Shield-Abkommen gestützt, so besteht akuter Handlungsbedarf. Auch der konzerninterne Datenaustausch über die Grenzen der EU hinaus kann betroffen sein.

Was kann schlimmstenfalls passieren?

Werden die Voraussetzungen für eine rechtmäßige Übertragung von personenbezogenen Daten in die USA nicht erfüllt, so stellt dies einen bußgeldbewährten Verstoß gegen die DSGVO dar. Ein solches Bußgeld kann bis 20.000.000,00 Euro oder bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens betragen. Insbesondere in Deutschland haben sich die Aufsichtsbehörden auf ein großzügiges Berechnungsmodell geeinigt, wonach deutlich höhere Bußgelder als in anderen Europäischen Ländern zu erwarten sind.

Wenn Sie Fragen zu diesem Thema haben oder Beratung im Bereich des Datenschutzrechts benötigen, sprechen Sie uns gerne an! Sie erreichen uns telefonisch unter 0511 374 98 150 oder per E-Mail unter kontakt@recht-im-internet.de.

Nick Akinci

Recent Posts

EuGH: Arzneimittelverkauf über Amazon Marketplace nur mit ausdrücklicher Datenschutzeinwilligung

Der Europäische Gerichtshof (EuGH) hat am 4. Oktober 2024 eine wegweisende Entscheidung zum Verkauf von…

2 Wochen ago

Data Act: Datenkontrolle im Wandel

Der Data Act der Europäischen Union (EU) ist bereits am 11. Januar 2024 in Kraft…

2 Monaten ago

Rechtspflichten für Cannabis Social-Clubs: Welche Vorschriften es für Anbauvereinigungen nach dem Cannabisgesetz zu beachten gilt

Bild: Generiert mit Midjourney von Joerg Heidrich Seit der Legalisierung des Cannabiskonsums durch Inkrafttreten des…

7 Monaten ago

Erste Entscheidung in Deutschland zur unternehmensinternen Nutzung von ChatGPT

Bild: Generiert mit Midjourney von Joerg Heidrich Das Arbeitsgericht Hamburg hat in einem Fall, bei…

9 Monaten ago

Das EU-US Data Privacy Framework – ein neuer sicherer Hafen?

Die europäische Kommission hat am 10. Juli den Angemessenheitsbeschluss für den Datenschutzrahmen zwischen der EU…

1 Jahr ago

Bedeutung von KI-Richtlinien für Unternehmen

Bild: Generiert mit Midjourney von Joerg Heidrich Die Existenz der zahlreichen und sogar kostenlos nutzbaren…

1 Jahr ago