Mit seinem Urteil vom 17.06.2020 hat der EuGH das Privacy-Shield-Abkommen zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam erklärt, da es kein Schutzniveau auf dem Level der DS-GVO sicherstellt. Das Urteil entfaltet unmittelbar Gültigkeit.
Datenübermittlungen von personenbezogenen Daten von EU-Bürgern in die USA sind damit ab sofort rechtswidrig, wenn sie (ausschließlich) auf Grundlage einer Privacy-Shield-Zertifizierung erfolgen. Die Übermittlung der personenbezogenen Daten kann nach wie vor auf die sog. Standardvertragsklauseln (SCC) der EU-Kommission gestützt werden. Allerdings auch nur dann, wenn das Recht des Ziellandes einen angemessenen Schutz personenbezogener Daten bietet. Darüber hinaus gibt es Ausnahmen, die sich in bestimmten Fällen für einen Datentransfer nach Art. 49 DS-GVO rechtfertigen lassen. Ebenso nicht vom Urteil betroffen sind Datenübertragungen, die freiwillig durch den Nutzer selbst initiiert werden, wie z.B. Buchungen von Leistungen über US-Websites oder den E-Mailversand ins Ausland.
Was bedeutet dies für Unternehmen?
Aus Unternehmenssicht beantwortet das Urteil die Frage der Rechtskonformität des Cloud-Computing. Unternehmen die Cloud-Services von US-Providern in Anspruch nehmen, also Microsoft Azure, Microsoft Office 365, Amazon Web Services, Google Drive, Salesforce, Dropbox & Co sind von der Entscheidung betroffen. Gleiches gilt auch für Webanalysedienste, wie z.B. Google Analytics, das in Deutschland das meist genutzte Tool zur Datenverkehrsauswertung ist. Zwar betreiben einige der Anbieter ihre Server teilweise auch innerhalb der EU, jedoch findet fast immer eine Datenspiegelung auf US- und andere Server in Drittländer statt, die derzeit datenschutzrechtlich mit dem EU-US-Privacy-Shield und/oder den EU-Standardvertragsklauseln gerechtfertigt werden.
Die Ausmaße dieser Entscheidung sind heute noch nicht abzusehen und schaffen für die betroffenen Unternehmen große Rechtsunsicherheit. Jedoch kann die Bedeutung des EuGH-Urteils gar nicht genug hervorgehoben werden, denn die Mehrheit der deutschen Unternehmen verwenden IT-Services von US-Providern.
Was sagen die Datenschutzbehörden?
Die Datenschutzbehörden reagieren unterschiedlich. In Berlin wird beispielsweise allgemein darauf hingewiesen, dass datenverarbeitende Stellen in den USA gespeicherte personenbezogene Daten nach Europa verlagern sollen, wohingegen die Behörde in Rheinland Pfalz konkreter wird und zeitnah an Unternehmen herantreten will. Dabei geht es darum, festzustellen inwieweit in der Vergangenheit Datenübermittlung in die USA auf das Privacy Shield gestützt wurden. In diesen Fällen müssen von den Verantwortlichen Maßnahmen getroffen und zudem erläutert werden, wie künftig die entsprechenden Datenverarbeitungen gestaltet sein werden. Sind Unternehmen dazu nicht aussagefähig, sind Sanktionen möglich.
Die deutschen und europäischen Datenschutzaufsichtsbehörden arbeiten an Empfehlungen, wie Daten-übermittlungen in Drittstaaten rechtssicher gestaltet werden können. Hier geht es etwa um zusätzliche Vorkehrungen, die mit Standardvertragsklauseln zusammen die internationalen Datenübermittlungen weiterhin tragen. Ziel ist es, Hilfestellungen und Empfehlungen geben zu können, um Unternehmen die Aufrechterhaltung von Datenübermittlungen in Drittstaaten zu ermöglichen.
Was sollten Unternehmen jetzt tun?
In jedem Fall sollten Sie jetzt aktiv werden und unternehmensintern gemeinsam mit Ihrem Datenschutz-beauftragten und der IT-Abteilung die betroffenen Datenflüsse identifizieren, Risiken bewerten und gegebenenfalls auf datenschutzkonforme Alternativen umstellen. Hier ist eine gute Dokumentation wichtig, da Sie nur so bei einer Anfrage der Datenschutzbehörde belegen können, dass Sie sich ernsthaft mit dem Thema auseinandersetzen. Sollten Sie dabei Hilfe benötigen, wenden Sie sich gerne an uns.