EuGH kippt Privacy-Shield-Urteil: Was du jetzt wissen musst

Die Vorgeschichte zum Privacy Shield und EuGH-Urteil

Das Privacy Shield ist nach dem Save-Harbour-Abkommen bereits der zweite Datentransfer-Vertrag zwischen den Vereinigten Staaten und der EU, der vom europäischen Gerichtshof wieder gekippt wurde. Nicht ohne Grund, denn das transatlantische Abkommen war von Anfang an umstritten. Das neue EuGH-Urteil ging aus einem Rechtsstreit zwischen dem Datenschutzaktivisten Maximilian Schrems und Facebook hervor. Geklagt wurde von Schrems gegen die Übermittlung von personenbezogenen Daten aus Facebook über Irland in die USA.

Der Fall drehte sich um die im Vergleich zur DSGVO schwachen datenschutzrechtlichen Vorschriften in den Vereinigten Staaten. Er geriet bis an den Supreme Court, der höchsten Gerichtsinstanz Irlands, und wurde schlussendlich an den Europäischen Gerichtshof weitergegeben. Dabei ging es mittlerweile nicht mehr nur um Facebook, sondern grundsätzlich um die Übertragung von personenbezogenen Daten in Drittländer wie die USA. Das Urteil: Die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates, welche die Angemessenheit des sogenannten Privacy Shields gewährt, wurde für ungültig erklärt.

Das Privacy-Shield-Abkommen: Datenschutz auch außerhalb der EU

Wer personenbezogene Daten von EU-Bürgern verarbeiten möchte, benötigt die ausdrückliche Einwilligung des Betroffenen oder muss sich auf eine einwilligungsunabhängige Rechtsvorschrift berufen können. Das gilt allerdings nur für die Datenverarbeitung innerhalb der europäischen Grenzen. Werden Informationen über natürliche Personen in Drittländer, wie etwa die Vereinigten Staaten, übermittelt, reicht dies nicht aus.

Unser Datenschutzgesetz fordert in diesem Fall eine ergänzende Rechtsvorschrift, die die Übertragung und Verarbeitung rechtfertigt. Im Hinblick auf die USA diente dazu bislang das Privacy-Shield-Abkommen. In dessen Rahmen hatten sich über 5.000 amerikanische Unternehmen über eine Zertifizierung dazu verpflichtet, die europäischen Datenschutzgesetze einzuhalten. Diese Unternehmen, zu denen beispielsweise Google, Facebook und Twitter zählten, galten fortan als „sicher“, was die ergänzende Rechtsgrundlage für eine Datenübermittlung schuf.

Europäischer Datenschutz und das Privacy Shield

Der Europäische Gerichtshof hat das Privacy-Shield-Abkommen aus mehreren Gründen wieder für unwirksam erklärt. Bemängelt wurde, dass der Zugriff auf personenbezogene Daten aus der EU über US-Gesetze nicht dem Grundsatz der Verhältnismäßigkeit nach europäischem Recht entspricht. Zum Beispiel sind US-amerikanische Unternehmen dazu verpflichtet, Personendaten von EU-Bürgern an Behörden wie die NSA oder das FBI zu übermitteln. Als weiterhin nicht ausreichend wurden die Klagemöglichkeiten, die EU-Bürger bei Verletzungen ihrer Datenschutzrechte in den USA haben, angebracht.

Was gilt jetzt für Unternehmen?

Das Urteil hat weitreichende Folgen für amerikanische und europäische Unternehmen. Nun fehlt es erneut an einer ergänzenden Rechtsgrundlage, welche die geschäftsmäßige Verarbeitung von EU-Daten in den Vereinigten Staaten erlaubt. Es dürfte einiges an Zeit vergehen, bis sich Europa und die USA auf eine Neuregelung geeinigt haben. Bis dahin müssen hiesige Unternehmen handeln und jegliche Art der Übertragung von personenbezogenen Daten in die USA überprüfen. In vielen Fällen ist es zudem notwendig, die eigene Datenschutzerklärung zu überarbeiten.

Wie sieht die aktuelle Rechtslage aus?

Das Aus vom Privacy Shield ist dennoch kein Aus für die Nutzung US-amerikanischer Dienste. Schließlich gehört die Übermittlung von Daten in die USA zum Geschäftsalltag der meisten Unternehmen dazu – das weiß auch die Europäische Kommission. Und so bestehen ein paar Ausnahmefälle, in denen die Datenübertragung auch ohne Privacy Shield gestattet sein kann.

• Zu den aktuellen rechtlichen Möglichkeiten zählen interne Datenschutzvorschriften (Binding Corporate Rules), mit denen sich US-amerikanische Unternehmen zur Einhaltung des europäischen Datenschutzrechts verpflichten. Das schafft insbesondere dann eine sichere Rechtsgrundlage, wenn diese von den europäischen Datenschutzbehörden genehmigt wurden. Allerdings wird das erst geschehen, wenn die Kritikpunkte des neuen EuGH-Urteils in puncto Klagerechte für EU-Bürger und Zugriffsrechte von US-Behörden aus dem Weg geräumt wurden. Hier sollte im Einzelfall von einem Fachanwalt für Datenschutzrecht geprüft werden, ob dies bereits erfolgt.
• Gleiches gilt für die sogenannten Standardvertragsklauseln. Dabei handelt es sich um von der EU-Kommission vorformulierte Vertragsmuster, mit denen sich US-amerikanische Firmen an das europäische Datenschutzrecht binden können. Viele Unternehmen haben diese sogar schon in ihre Verträge integriert.
• Weiterhin erlaubt der Artikel 49 der DSGVO die Verarbeitung von personenbezogenen Daten in Drittländern unter bestimmten Voraussetzungen. Die Klausel ist jedoch nur bedingt anwendbar für den Schutz von Personendaten im Marketing und von Beschäftigten. Die Anwendbarkeit des Artikels sollte also im Einzelfall genau geprüft werden.

Grundsätzlich gilt: Jede Form der Übermittlung von personenbezogenen Daten in die USA erfordert eine sorgfältige Analyse. Es ist daher zu empfehlen, die Datenübertragung in die Vereinigten Staaten zunächst vorläufig zu stoppen und sich von einem Experten für Datenschutzrecht beraten zu lassen.