EU-US Privacy Shield: Dringender Handlungsbedarf nach EuGH Urteil!

Das Privacy Shield ist eine Absprache zwischen der EU und den USA und hatte das Ziel, ein gewisses Schutzniveau für personenbezogene Daten herzustellen, welche in die USA übertragen werden sollten. Unternehmen konnten sich den Vorgaben des Privacy Shields unterwerfen, um so ein angemessenes Datenschutzniveau nach Art. 45 DSGVO zu schaffen. Diese Rechtsgrundlage diente dazu, dass personenbezogene Daten in ein Drittland, also hier die USA, übertragen werden durften.

Unternehmen, die personenbezogene Daten auf der Grundlage des EU-US-Privacy Shields in die USA übermittelt haben, können sich nicht mehr auf diese stützen. Das hat zur Folge, dass jede Datenübermittlung nun nicht mehr zulässig ist und durch die Behörden gestoppt sowie mit einem Bußgeld geahndet werden kann. Es wird also dringend eine andere Rechtsgrundlage benötigt, welche den Transfer von personenbezogenen Daten in die USA ermöglicht.

Eine alternative Rechtsgrundlage bietet beispielsweise das Schaffen „geeigneter Garantien“ nach Art. 46 DSGVO. Diese sollen einen gewissen Schutz für personenbezogene Daten bei der Übermittlung in ein Drittland schaffen. Solche Garantien können bspw. verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) oder die von der Europäischen Kommission erlassenen Standarddatenschutzklauseln sein.

Die Binding Corporate Rules sind für Unternehmen interessant, die global aufgestellt sind und sollen es ermöglichen, unternehmensintern personenbezogene Daten in Drittstaaten mit nicht angemessenem Datenschutzniveau zu übermitteln. Sie müssen jedoch vorab von der Aufsichtsbehörde genehmigt werden.

Am relevantesten sind hier die Standarddatenschutzklauseln (bzw. Standardvertragsklauseln), welche als Vertragszusatz zwischen dem Datenübermittler in der EU und dem Empfänger im Drittland abgeschlossen werden. Dabei handelt es sich um einen weiteren Vertrag, der zwischen den Parteien geschlossen wird. Dieser ist vergleichbar mit einem Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.

Mit Hilfe dieses Vertrags verpflichten sich die jeweiligen Parteien, einen angemessenen Datenschutzstandard bei der Datenübermittlung einzuhalten und den Betroffenen die nötigen Rechte einzuräumen. Zu beachten ist hier jedoch, dass von diesen Klauseln nur abgewichen werden darf, um das Schutzniveau zu erhöhen, nicht jedoch um Betroffene zu benachteiligen.

Anders als beispielsweise der mit Inkrafttreten der DSGVO gewährten „Schonfrist“, sieht das EuGH Urteil keine Übergangsfrist vor. Alle Datentransfers auf Grundlage des Privacy Shields sind aktuell rechtswidrig und eine andere rechtsichere Lösung muss geschaffen werden.

• Prüfen Sie daher zunächst, ob Sie Dienstleister haben, die ihren Sitz in den USA haben bzw. ob Sie personenbezogene Daten auf Servern in den USA speichern. Speichern Sie Daten in der Cloud, sollten Sie abklären, wo diese Daten gespeichert werden. Wird Ihre Unternehmenswebseite in den USA gehostet und vielleicht auch durch Google Analytics analysiert? Nutzen Sie soziale Netzwerke oder Messenger zur Unternehmenskommunikation? Bearbeiten Sie Ihre Dokumente in Microsoft Office 365?
• Haben Sie festgestellt, dass Sie mit Dienstleistern aus den USA zusammenarbeiten, müssen Sie jetzt überprüfen, auf welcher Grundlage Sie personenbezogene Daten an diese übermitteln. Stützt sich diese Übermittlung noch auf den EU-US Privacy Shield, muss hier auf die Standarddatenschutzklauseln gewechselt werden.
• Sprechen Sie Ihre Dienstleister an! Möglicherweise hat dieser schon Standardvertragsklauseln im Einsatz, welche nur noch von Ihnen unterzeichnet werden müssen. Anderenfalls finden Sie solche auch kostenlos im Internet.

Haben Sie bereits Standardvertragsklauseln im Einsatz, ist das schon ein sehr guter Anfang. Hier muss dennoch je Einzelfall geprüft werden, ob diese auch wirksam sind.

Stand: 01.10.2020