Privacy-Shield

Aufkündigung Privacy-Shield

Wieder ein Mal hat es der Österreicher Max Schrems geschafft, ein Urteil mit sehr weitreichenden Folgen vor den Europäischen Gerichtshof zu erwirken.

Der Verlauf der Verhandlungen ist nicht ganz einfach wieder zu geben.

Kurz gesagt, Herr Schrems war 2015 schon für die Aufkündigung der Safe-Habour-Vereinbarung verantwortlich, welches ebenfalls durch den Europäischen Gerichtshof entschieden wurde. Der damalige Jura-Student konnte dem Gerichtshof vermitteln, dass die Safe-Habour-Vereinbarung nicht das angemessene Schutzniveau erfüllt.

Ebenso stellen nun die Luxemburger Richter fest, dass die Vereinbarung „Privacy-Shield“ gegen die Grundrechte der Europäischen Bürger verstoße und somit ungültig ist.

Grundlegendes zum Urteil des EuGH

Aufkündigung-Privacy-Shield

Nach Auffassung des EuGH besteht in den USA kein angemessenes Schutzniveau im Sinne des Artikels 45 Abs. 1 DSGVO.
In Artikel 45 steht geschrieben, dass die EU-Kommission Drittländer (oder spezifische Sektoren), außerhalb des europäischen Wirtschaftsraumes, benennen kann, in welche personenbezogene Daten ohne besondere Genehmigung übermittelt werden dürfen.
Bis zum 16. Juli ’20 war die USA als Land mit angemessenem Schutzniveau durch Privacy-Shield eines dieser Länder. Mit der Aufkündigung des Vertrages gilt die USA nicht mehr als Land mit angemessenem Schutzniveau.

Wichtig hierbei

Ebenso hat der EuGH festgestellt, dass die Entscheidung 2010/87/EG der Kommission über Standardvertragsklauseln (Standard Contractual Clauses – SCC) grundsätzlich weiterhin gültig ist. Dazu kommen wir später!

Grundlegende Empfehlung

Nicht in Panik verfallen! Rechtlich muss die Umstellung sofort erfolgen. Hier gibt es keine Übergangsfrist. Auch besteht die Möglichkeit, dass Nutzer, Besucher, Kunden, Mitarbeiter, etc. auf Schmerzensgeld klagen können.

Eine sofortige Umstellung kann jedoch von keinem Unternehmen geleistet werden.

Die EU-Kommission und die Aufsichtsbehörden werden die nächsten Tage und Wochen ebenso an einer Bearbeitung zur Lösung sitzen.

Grund des Urteils

Aufkündigung-Privacy-Shield

Der EuGH sieht durch die amerikanischen Sicherheitsbehörden eine umfassende und anlasslose staatliche Massenüberwachung (Rn. 184). Der Internetverkehr wird weitreichend mitgelesen und basierend auf bestimmten Selektoren für Geheimdienste erschließbar gemacht (Zugriff durch FBI und CIA).

Eine gerichtliche Kontrolle ist zudem nicht bzw. nur eingeschränkt möglich (Rn. 191 f.). Der EuGH zweifelt, ob dieser „unabhängig″ ist und für die Geheimdienste bindende Entscheidungen treffen kann (Rn. 195 f.).
Dadurch werden die Grundrechte auf Privatleben und Datenschutz aller EU-Bürger verletzt.

Was sind die Standardvertragsklauseln (SCC)

Dies sind von der EU-Kommission festgelegte Verträge, auf welche sich Unternehmen in nicht sicheren Drittländern beziehen können. Können diese Unternehmen die Bedingungen der Standardvertragsklauseln einhalten, so gilt die Übermittlung bzw. die Verarbeitung als sicher. Der Vertrag darf nicht verändert oder ergänzt werden. In diesem Falle würde er ungültig.

Mit dem Urteil vom 16. Juli des EuGH muss zusätzlich eine eigene Überprüfung des Datenverarbeiters stattfinden. Eine einfache Unterschrift der Vertragspartner reicht nicht aus. Der Datenexporteur hat eine eigene Bewertung des Schutzniveaus im Empfängerland für die transferierten Daten anzustellen.

Für die USA würde gelten, dass die Standardvertragsklauseln nicht erfüllbar sind, da die Sicherheitsbehörden unverhältnismäßigen Zugriff auf die pb. Daten des Datenexporteur erhalten. Daher wird es schwierig, in der Prüfung zu beweisen, dass die Zugriffe nicht unmittelbar auf die übermittelten Daten erstrecken.
Das Ergebnis dieser Prüfung ist zu dokumentieren (Artikel 5 Abs. 2 „Rechenschaftspflicht“ DSGVO).

Empfehlung

SCC meiden! Grund: Die Standardvertragsklauseln gründen auf dem Datenschutzniveau des Landes. Da der EuGH das Datenschutzniveau der USA gerade für unzureichend angesehen hat, erteilt dieser dem Datentransfer auf Grundlage der SCC wohl ebenso eine Absage. Der Vertrag kann also von einem amerikanischen Unternehmen nicht erfüllt werden.

Was muss Ihr Unternehmen nun tun

Da die Übermittlung von personenbezogenen Daten in die USA nicht mehr der DSGVO entspricht, sollten folgende Schritte eingeleitet werden:

  • Identifizierung aller Dienste welche personenbezogene Daten in die USA übermitteln.
  • Identifizierung Dienstleister mit Subunternehmer aus der USA
    • An dieser Stelle wird es schon schwieriger. Auch an Dienstleister mit Subunternehmen aus der USA dürfen keine personenbezogenen Daten mehr übermittelt werden.
  • Anpassen der Datenschutzhinweise
  • Suche nach Alternativen
  • Verträge prüfen
  • Verarbeitungsverzeichnis anpassen
  • TOM aktualisieren
  • Letzte Möglichkeit: Einwilligung

Die Einwilligung

Aufkündigung-Privacy-Shield

Im Prinzip gibt es die Möglichkeit der Einwilligung. Im Prinzip jedoch auch nicht. Da der EuGH im Urteil beschlossen hat, dass die Grundrechte der EU-Bürger verletzt werden, kann selbst einer Übermittlung bzw. Verarbeitung mit einer Einwilligung in die USA nicht zugestimmt werden. Grundrechte können vertraglich nicht abgetreten werden. Die Grundrechte auf Privatleben, Datenschutz und auf einen wirksamen Rechtsbehelf kann durchaus angezweifelt werden.

Denkbar wäre

Eine transparente Aufklärung, wie z. B. Achtung, Sie verlassen hier jedes Schutzniveau, jede Sicherheit der EU und sie entäußern sich jedes Schutzes, welche die Grundrechte ihnen bietet. Folgen können z. B. Einreiseverbot oder unberechtigte Verdächtigungen sein. Darauf sollte eine Aufklärung über die Zugriffe der amerikanischen Sicherheitsbehörden folgen.

Empfehlung 

Die Möglichkeit der Einwilligung vermeiden!

Fazit

Aufkündigung-Privacy-Shield

Eigentlich ist nun die Politik am Zug. Der Druck wird an dieser Stelle am größten sein, eventuell ein neues Abkommen auf den Weg zu bringen bzw. Handlungsoptionen auf der neuen Grundlage herauszugeben. Abwarten wie im Jahre 2015, als „Safe-Harbor“ aufgekündigt wurde, ist jedoch nicht zu empfehlen. 2015 wurde das halbe Jahr zwischen den beiden Abkommen („Safe-Harbor“ und Privacy-Shield) mit warten und die Lage beobachten verbracht. Nach dem Privacy-Shield ist jedoch nicht mit einer Einigung der beiden Staaten zu rechnen, da entweder die EU die Sicherheitsstandards senkt oder die USA ihre Sicherheitsstandards anheben müsste. Beides ist nicht zu erwarten.

Daher muss kurzfristig und unbedingt an dem Umstand der Datenverarbeitung in der USA etwas geändert werden. Hierzu sollten wir einen genauen Ablauf festlegen, um auch vor Klagen und rechtlichen Schritten gerüstet zu sein.

Sehr zu empfehlen ist folgender Podcast mit Marcus Richter, Thomas Schwenke und Dr. Malte Engeler

Brauchen Sie Hilfe bei der Umsetzung oder nur einen ersten Schubs in die richtige Richtung? Dann melden Sie sich bei mir. Gerne komme ich auf einen ersten unverbindlichen Kaffee & Schnack bei Ihnen vorbei.

Der Weg zu allen Antworten führt Sie über das Kontaktformular oder unter den folgenden Kontaktdaten.

Privacy-Shield
Nach oben scrollen