EuGH erklärt Privacy Shield für ungültig

Was bedeutet das Urteil?

Unternehmen sind sich der Datenschutzproblematik bewusst: So fordern zwei Drittel von ihrem Cloud-Dienstleister, dass ihre Daten ausschließlich in Rechenzentren in Deutschland liegen.
Quelle: n = 522 Unternehmen, die Cloud-Lösungen nutzen, planen oder diskutieren; rundungsbedingt teils nicht 100 Prozent KPMG/Bitkom Research - "Cloud-Monitor 2020"
Auch weiterhin dürfen Unternehmen in den USA Daten aus Europa verarbeiten. So gibt es Fälle, in denen das auch gar nicht anders möglich ist, zum Beispiel wenn man eine E-Mail in die USA versendet oder wenn man in einem US-Online-Shop einkauft. Geht es jedoch um pesonenbezogene Daten von EU-Unternehmen, die diese in den USA verarbeiten, dann besteht für die Unternehmen Handlungsbedarf, wenn sie sich bislang auf die Regelungen des Privacy Shield beriefen.
Als Alternative zum Privacy Shield können Unternehmen auch die sogenannten Standardvertragsklauseln (Standard Contractual Clauses, SCCs) nutzen. Der Europäische Gerichtshof hat in seinem Urteil über den Privacy Shield die Möglichkeit offen gelassen, über die SCCs Daten mit den USA auszutauschen.

Was genau sind SCCs?

Es handelt sich bei den SSCs um standar­disierte Vertragsklauseln, die in Verein­barungen zwischen Unternehmen und Dienstleistern Anwendung finden und sicherstellen sollen, dass personenbezogene Daten, die die EU verlassen, unter Einhaltung der europäischen Datenschutzgesetze übertragen und verarbeitet werden. Die Standardvertragsklauseln wurden von der Europäischen Kommission verabschiedet und enthalten Regelungen, die ihrer Einschätzung nach angemessene Garantien bei der Übermittlung personenbezogener Daten in Drittländer gewährleisten.
Der Europäische Gerichtshof hebt in seinem Privacy-Shield-Urteil jedoch hervor, dass bei Nutzung der Standardvertragsklauseln sowohl vom Datenexporteur als auch vom Empfänger der Daten vorab zu prüfen ist, ob das erforderliche Schutzniveau im betreffenden Drittland außerhalb der Europäischen Union eingehalten wird. Der Empfänger der Daten hat dem Datenexporteur gegebenenfalls mitzuteilen, dass er die Standardvertragsklauseln nicht einhalten kann - woraufhin der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten muss.

Und wie geht es jetzt weiter?

Durch das Urteil haben die USA ihre Sonderstellung in Sachen Datenverarbeitung verloren - die Übermittlung personenbezogener Daten nach Übersee muss nun genauso akribisch geprüft werden wie bei anderen Drittländern außerhalb der Europäischen Union. Unternehmen, die bei der Datenübermittlung in die Vereinigten Staaten bislang auf den Privacy Shield setzten, sollten schnellstmöglich ihre Verträge mit Dienstleistern überarbeiten und auf die Standardvertragsklauseln umstellen. Es ist davon auszugehen, dass die Datenschutzbehörden eine gewisse Schonfrist gewähren und Unternehmen etwas Zeit geben, entsprechend zu handeln - und von Strafen erst einmal absehen, wenn man sich noch auf den Privacy Shield beruft.
Ob sich die EU und die USA zusammensetzen und es nach Safe Harbor und Privacy Shield mit einem dritten Übereinkommen probieren, ist unklar. Aber selbst wenn - bis es so weit ist, dürften Jahre vergehen. Aus wirtschaftlichen Gründen haben beide Seiten zwar sicher großes Interesse an einem solchen Abkommen, fraglich ist aber, ob die USA auf das Recht verzichten, auf Nutzerdaten aus der alten Welt zugreifen zu können.



Das könnte Sie auch interessieren