Urteil des EuGH zum Privacy Shield

Am 16. Juli 2020 wurde das Urteil des Europäischen Gerichtshofs (EuGH) zum Privacy Shield verkündet.

consileo informiert Sie über Hintergründe und Auswirkungen für Ihr Unternehmen.

An dieser Stelle finden Sie die Urteilsgründe und die Pressemitteilung des EuGH.

EuGH kippt EU-US Privacy Shield

An die Übermittlung der personenbezogenen Daten in ein Drittland, wie z.B. die USA, sind zusätzliche Voraussetzungen geknüpft.

Die Übermittlung in die USA basierte bislang auf einem Angemessenheitsbeschluss der Europäischen Kommission – dem sogenannten Privacy Shield.

Mit dem gestrigen Urteil vom 16.07.2020 erklärte der EuGH den Privacy Shield-Beschluss der EU-Kommission für ungültig.

Das Urteil hat weitreichende Konsequenzen für Ihr Unternehmen. Wenn keine anderen Garantien für die Übermittlung in die USA vorliegen, wie z.B. Standardvertragsklauseln oder BRC (binding corporate rules - verbindliche interne Datenschutzvorschriften), ist die Übermittlung auszusetzen oder zu beenden.

I. Näheres zum EuGH-Urteil

Der österreichische Staatsbürger Herr Schrams legte bei der irischen Aufsichtsbehörde eine Beschwerde gegen Facebook Irland ein, welche zum Ziel hatte, dass die Übermittlung der Daten von Facebook Irland an Server der Facebook Inc. in die USA verboten wird. Dies wurde damit begründet, dass die USA kein ausreichendes Datenschutzniveau gewährleisteten. Die Aufsichtsbehörde wies die Beschwerde zurück, mit der Begründung, dass gem. der sog. Safe Harbour-Entscheidung der Europäischen Kommission ein angemessenes Schutzniveau für die Datenübermittlung in die USA bescheinigt wurde.

Der Rechtsstreit wurde vor dem irischen High Court fortgeführt, welcher die Rechtsfragen zur Auslegung der EU-Rechtsakte dem EuGH vorlegte. Der EuGH erklärte die sog. Safe Harbour-Entscheidung der Europäischen Kommission für ungültig (sog. Urteil Schrems I, C-362/14). Daraufhin einigte sich die Europäische Kommission im Jahr 2016 mit den USA auf das EU-US Privacy Shield.

Die aufgrund des Urteils abgeänderte Beschwerde des Herrn Schrams führte zu einer weiteren Vorlage der Rechtsfragen vor dem EuGH.

Der EuGH entschied nun, dass

die Standardvertragsklauseln der EU-Kommission keinen Verstoß gegen die Charta der Grundrechte der EU darstellen und weiterhin gültig sind

der Privacy–Shield Beschluss der EU-Kommission ungültig ist

Der EuGH begründete die Entscheidung damit, dass der betroffenen Person, deren personenbezogene Daten in die USA übermittelt werden, kein Rechtsweg zu einem unabhängigen und unparteiischen Organ offen steht, dessen Entscheidungen gegenüber den amerikanischen Behörden durchgesetzt werden können.

Ein vom US-Außenminister ernannter Ombudsman genügt diesen Anforderungen nicht.

III. Weiteres Vorgehen

Anbei erhalten Sie von uns eine Ersthilfe für das weitere Vorgehen:

Schritt 1

Listen Sie Systeme/Prozesse auf, bei welchen es zu der Datenübermittlung in die USA kommen kann.

Schritt 2

Prüfen Sie, ob Standardvertragsklauseln für diese Datenübermittlungen vorliegen.

  • Im Zweifel den Datenschutzbeauftragten einschalten

Falls keine Standardvertragsklauseln vorliegen, nehmen Sie den Kontakt mit dem Dienstleister auf, um Standardvertragsklauseln abzuschließen.

  • den Datenschutzbeauftragten zwecks Vertragsanbahnung und/oder -überprüfung einschalten

Schritt 3

Passen Sie die Datenschutzerklärungen, in welchen der Hinweis auf Privacy Shield erfolgte, an.

  • Ggf. den Datenschutzbeauftragten einschalten

Schritt 4

Bei der zukünftigen Datenverarbeitung darauf achten, dass nach Möglichkeit die Verarbeitung in der EU/EWR oder in einem Land, für welches ein Angemessenheitsbeschluss vorliegt, stattfindet. Falls dies nicht möglich ist und Dienste von US-Anbietern in Anspruch genommen werden, sind zeitnah die Standardvertragsklauseln abzuschließen.

Kommen Sie gerne auf uns zu, wenn wir Sie in der individuellen Umsetzung der Vorgaben unterstützen sollen.

Fanden Sie diesen Beitrag interessant? Melden Sie sich gerne zu unserem Newsletter an, damit wir Sie auch in Zukunft über Neuigkeiten auf dem Laufenden halten können.