Der EuGH hat die sog. „Privacy Shield“-Regelung der EU-Kommission für unwirksam erklärt

KLARTEXT Header

Im Rahmen unserer Datenschutz-Mandate erhalten unsere Kunden jeden Monat unseren KLARTEXT. Mit dieser wertvollen Dokumentation weisen wir frühzeitig auf wichtige Datenschutzthemen und -veränderungen hin.

Aufgrund der am vergangenen Donnerstag durch den EuGH unwirksam erklärten sog. „Privacy Shield“-Regelung der EU-Kommission möchten wir Sie im Rahmen einer Sonderinfo unseres KLARTEXT informieren.

Eine erste Einschätzung zu dem Urteil hat der geschätzte Kollege Hansen-Oest gut verständlich hier veröffentlicht. Dort finden sich auch Links zum Urteil und zur Pressemitteilung des EuGHs.


 

Hintergrund

Wenn personenbezogene Daten in ein nicht EU Land übermittelt werden, wird eine Rechtsgrundlage dafür benötigt. Das kann ein Angemessenheitsbeschluss der EU sein, wie es damals Safe Harbour war oder der neue Privacy Shield, der Safe Harbour ersetzte. Dieser regelt explizit die legitimation der Datenübertragung mit den USA. Eine weitere Möglichkeit bieten die sog. Standarddatenschutzklauseln nach Art. 46 Abs. 2 c. Die Klauseln wurden aber i.d.R. nicht benötigt, wenn sich das Unternehmen in den USA befunden hat.

Dieser Privacy Shield wurden nun vom EuGH als ungültig festgestellt. Die Standardklauseln haben formal aber erstmal bestand.


 

Folgen?

Folge des Urteils des EuGHs ist, dass z.B. die Inanspruchnahme von US-Dienstleistern, die nur auf Basis des sog. „Privacy Shield“ erfolgt, seit letzten Donnerstag unzulässig ist und ggf. damit rechtswidrig ist. Aus der Rechtswidrigkeit allein können wiederum unmittelbar Bußgeldrisiken resultieren, sodass hier zügig gehandelt werden muss, um diese Datenverarbeitungen entweder sofort einzustellen oder auf rechtlich andere „Füße“ zu stellen.

Normalerweise wäre die Alternative, dass mit den Dienstleistern auf die EU-Standardvertragsklauseln umgestellt wird. Auch wenn das auch im jetzigen Szenario die zunächst beste Möglichkeit wäre, ist es keine Dauerlösung. Denn auch die Verwendung der EU-Standardvertragsklauseln wird im Falle der USA in vielen Fällen dazu führen, dass Aufsichtsbehörden bei einer Prüfung die jeweilige Datenverarbeitung als unzulässig einschätzen und ahnden können, solange nicht die USA bessere Rechtsschutzmöglichkeiten gegen staatliche Überwachung einräumen. Letzteres ist aber nicht in naher Zukunft zu erwarten.

Das Problem der EU-Standardvertragsklauseln ist, dass Sie als Verantwortlicher prüfen müssen, ob der US-Dienstleister diese auch einhalten kann. Da der Privacy Shield aufgrund dessen gekippt wurde, dass sich die US-Regierung mit ihrem Patriot Act und Cloud Act umfangreiche Rechte eingeräumt hat, um auf personenbezogene Daten von US-Unternehmen zuzugreifen, sind auch die Standardvertragsklauseln für die USA aus jetziger Sicht obsolet.


 

Was ist nun zu tun? 

1. Ermitteln Sie alle Dienstleister aus den USA, die Sie nutzen, und prüfen Sie, ob für die Übermittlung der Daten in die USA zur Gewährleistung des angemessenen Schutzniveaus allein auf eine „Privacy Shield“-Zertifizierung des Dienstleisters gesetzt wurde oder ob die sog. EU-Standardvertragsklauseln vertraglich vereinbart worden sind. 

2. Wenn die Basis nur das „Privacy Shield“ ist, prüfen Sie, ob Sie auf den Dienstleister verzichten und das Vertragsverhältnis kündigen können. Das EuGH-Urteil bietet hier ggf. die Möglichkeit einer fristlosen Kündigung.

3. Wenn Sie auf den Dienstleister nicht verzichten können, dann schreiben Sie Ihren Ansprechpartner bei dem Dienstleister an, weisen auf das EuGH-Urteil zur Unwirksamkeit des „Privacy Shields“ hin und fragen nach, ob kurzfristig der Abschluss der sog. EU-Standardvertragsklauseln möglich ist.

4. Wenn der Dienstleister nicht bereit sein sollte, die EU-Standardvertragsklauseln abzuschließen, sollte der Dienstleister nach Möglichkeit nicht mehr eingesetzt werden.

5. In bestimmten Fällen bleibt dann nur die Möglichkeit, auf in Art. 49 DSGVO enthaltene Ausnahmen zurückzugreifen. Die Aufsichtsbehörden wenden diese Norm jedoch sehr restriktiv an. Das wäre aber immer noch besser als keine Lösung.

6. Wichtig: Jetzt von jedem Betroffenen eine Einwilligung einholen zu wollen, ist regelmäßig keine gute Lösung und sollte nur dann genutzt werden, wenn es keine anderen Alternativen gibt.


 

Bis wann sollte das Thema angegangen werden? 

Vermutlich wird es nicht sofort Sanktion geben, aber jeder Betroffenen kann bereits jetzt auf immateriellen Schaden klagen.
Da die oben genannten Empfehlungen einiges an Zeit erfordern, sollten Sie zügig handeln.
Setzen Sie sich mit Ihrem IT-Dienstleister, Webseitenbetreiber, Marketingabteilung usw. in Verbindung, um vor allem Punkt 1 schnell abzuarbeiten.
Ihr Datenschutz-Verfahrensverzeichnis kann Ihnen hier ebenfalls ein wenig weiterhelfen, auch wenn bei der Erstellung meist auf den Privacy-Shield verwiesen wurde.


 

Bei allen Fragen rund um unsere neue KLARTEXT-Serie und die thematisierten Grundsätze stehen wir Ihnen gerne beratend zur Seite.

Ihre Datenschutzexperten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.