Europäischer Gerichtshof kippt den Deal zwischen EU und USA

Privacy Shield hat ausgedient

Der Europäische Gerichtshof hat mit seinem Urteil vom 16. Juli das sogenannte „Privacy Shield“, das den Datenaustausch zwischen der EU und den USA regelt, für ungültig erklärt. Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden und -Geheimdienste seien die Anforderungen an den Datenschutz nicht gewährleistet.

Bildquelle: gettyimages/iStock

Ein Datentransfer in andere Staaten auf Basis sogenannter Standardvertragsklauseln (SVK) sei zwar im Prinzip weiterhin zulässig, so der EuGH. Voraussetzung dafür sei aber ein gleichwertiges Niveau an Datenschutz in den USA – und das sieht der EuGH in seinem Urteil nicht. Europäische Tochter­firmen von US-Konzernen dürften laut EuGH-Urteil im Fall C-311/18 also theoretisch noch mit Hilfe der SVK persönliche Daten an Auftragsverarbeiter in die USA übertragen.

Dies ist ein Artikel aus unserer Print-Ausgabe 7-8/2020. Bestellen Sie ein kostenfreies Probe-Abo.

Ob dies tatsächlich erlaubt ist, scheint mehr als fraglich. Denn zugleich betonten die Richter, dass Datenschutzbehörden verpflichtet seien, Datentransfers auszusetzen oder zu verbieten, sobald sie zu der Auffassung kommen, dass die Standardvertragsklauseln im Empfängerland nicht eingehalten werden. Wir haben bei ausgewiesenen Experten nachgefragt, was dieses Urteil des EuGH konkret für die Datenverarbeitung in Deutschland bedeutet.

Ja, aber: Standardvertrags–klauseln bleiben gültig

Laut Dr. Christoph Bausewein, Experte für internationalen Datentransfer beim Berufsverband der Datenschutzbeauftragten Deutschlands (BvD), sind auch die vom EuGH als rechtmäßig befundenen SVK anpassungsbedürftig. Die EU-Kommission sei nun mehr denn je aufgefordert, neue SVK vorzulegen, die sowohl die DSGVO als auch das nationale Recht der EU-Mitgliedstaaten angemessen berücksichtigen und geeignet sind, ohne einzelvertragliche Anpassungen das Schutzniveau der DSGVO abzubilden. Des Weiteren hält es Bausewein für außerordentlich wichtig, dass neue SVK in Abkehr von der heutigen Praxis die Möglichkeit bieten, ein angemessenes Datenschutzniveau zugunsten von verbundenen Unternehmen zu etablieren.

Entsprechend der Maßgabe der Artikel-29-Datenschutzgruppe, einem mit der DSGVO durch den Europäischen Datenschutz­ausschuss abgelösten europäischen Beratungsgremium in Datenschutzfragen, können die Standardvertragsklauseln von einer juristischen Person nicht für andere juristische Personen abgeschlossen werden, selbst wenn diese zum gleichen Unternehmensverbund bzw. Konzern gehören. In der Konsequenz bedeutet dies ­aktuell in der Praxis, dass für eine zentral beschaffte Dienstleistung – in Abhängigkeit der Anzahl angeschlossener Konzernunternehmen – eine Vielzahl von Verträgen mit Standardvertragsklauseln geschlossen werden muss.

Insbesondere hier sieht Bausewein nach wie vor die Vorzüge des EU-US „Privacy Shield“. Durch das sogenannte „Onward-Transfer-Prinzip“ habe das Shield es pragmatisch ermöglicht, nach bilateralem Vertragsschluss zwischen der Muttergesellschaft und dem Dienstleister sowie durch Verträge zwischen dem Dienstleister und seinen Subdienstleistern zur internen Weitergabe der Pflichten zur Einhaltung des Datenschutzes ein angemessenes Datenschutzniveau ohne unsinnige Papierschlacht herzustellen.

FAQs zum EuGH-Urteil

Das „European Data Protection Board“ (EDPB) hat am 24. Juli Antworten zu den wichtigsten Fragen und zu den Konsequenzen aus dem Schrems-II-Urteil veröffentlicht.

Diese FAQs sollen im Laufe der Zeit ergänzt werden, falls dies dem EDPB erforderlich scheint. Das EDPB ist ein unabhängiges europäisches Gremium, das zur einheitlichen Anwendung der Datenschutzbestimmungen in der gesamten EU beitragen und die Zusammenarbeit zwischen den Datenschutzbehörden der EU fördern soll. Hier der Link zu den FAQs.

Begrüßenswertes EuGH-Urteil

Tobias Gerlinger, CEO und Managing Director von Own Cloud in Nürnberg, nennt das EuGH-Urteil „ein großes Problem für die amerikanischen Cloudspeicher-Dienste wie Microsoft One Drive, Google Drive oder Dropbox“. Aus Sicht des Anbieters von Open-Source-Software für die digitale Zusammenarbeit bedeutet das Urteil im Endeffekt, „dass die Speicherung personenbezogener Daten von EU-Bürgern in diesen Clouds gegen EU-Recht, sprich die DSGVO, verstößt und somit empfindliche Strafen drohen.“ Damit sei die Nutzbarkeit dieser Dienste für europäische Unternehmen und Behörden seit Mitte Juli „stark eingeschränkt“.

Mit dem Urteil ist es nun laut Gerlinger „auch amtlich, dass die Zertifizierungen der großen amerikanischen Cloud-Anbieter Microsoft, Google, Amazon und Co. nach dem ,EU-US-Privacy-Shield-Abkommen’ nicht einmal das Papier wert sind, auf dem sie stehen. Der Transfer personenbezogener Daten von EU-Bürgern durch diese Cloud-Dienste in die USA verstößt gegen EU-Recht! Da ein solcher Transfer wegen des US Cloud Act auch bei Speicherung der Daten in der EU nicht ausgeschlossen werden kann, wird die Nutzbarkeit amerikanischer Cloud-Dienste für europäische Unternehmen und Behörden de facto stark eingeschränkt.“

Für Gerlinger ist das Urteil „ein Sieg für den Datenschutz und ein großer Schritt hin zur digitalen Souveränität Europas. Der EuGH hat erkannt, dass das Datenschutzniveau in den USA bei weitem nicht den Vorgaben der DSGVO entspricht und das der ‚EU-US Privacy Shield‘ damit nichtig ist.“

Bildquelle: gettyimages/iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok