Mit seiner tiefgehenden Datenschutzexpertise stellt er sich jeden Tag aufs Neue den Herausforderungen des Datenschutzes. Er kennt die Gefahren und Stolpersteine ganz genau und berät seine Kunden praxisnah.

Wie zuvor schon das Safe Harbor Abkommen im Jahr 2015 hat der Europäische Gerichtshof nun auch im Urteil C-311/18 vom 16. Juli 2020 das EU-US Privacy Shield gekippt.
Das Privacy Shield ist eine Absprache zwischen der EU und den USA und hatte das Ziel, ein gewisses Schutzniveau für personenbezogene Daten herzustellen, welche in die USA übertragen werden sollten. Unternehmen konnten sich den Vorgaben des Privacy Shields unterwerfen, um so ein angemessenes Datenschutzniveau nach Art. 45 DSGVO zu schaffen. Diese Rechtsgrundlage diente dazu, dass personenbezogene Daten in ein Drittland, also hier die USA, übertragen werden durften.
Unternehmen, die personenbezogene Daten auf der Grundlage des EU-US-Privacy Shields in die USA übermittelt haben, können sich nicht mehr auf diese stützen. Das hat zur Folge, dass jede Datenübermittlung nun nicht mehr zulässig ist und durch die Behörden gestoppt sowie mit einem Bußgeld geahndet werden kann. Es wird also dringend eine andere Rechtsgrundlage benötigt, welche den Transfer von personenbezogenen Daten in die USA ermöglicht.
Eine alternative Rechtsgrundlage bietet beispielsweise das Schaffen „geeigneter Garantien“ nach Art. 46 DSGVO. Diese sollen einen gewissen Schutz für personenbezogene Daten bei der Übermittlung in ein Drittland schaffen. Solche Garantien können bspw. verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCR) oder die von der Europäischen Kommission erlassenen Standarddatenschutzklauseln sein.
Die Binding Corporate Rules sind für Unternehmen interessant, die global aufgestellt sind und sollen es ermöglichen, unternehmensintern personenbezogene Daten in Drittstaaten mit nicht angemessenem Datenschutzniveau zu übermitteln. Sie müssen jedoch vorab von der Aufsichtsbehörde genehmigt werden.
Am relevantesten sind hier die Standarddatenschutzklauseln (bzw. Standardvertragsklauseln), welche als Vertragszusatz zwischen dem Datenübermittler in der EU und dem Empfänger im Drittland abgeschlossen werden. Dabei handelt es sich um einen weiteren Vertrag, der zwischen den Parteien geschlossen wird. Dieser ist vergleichbar mit einem Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.
Mit Hilfe dieses Vertrags verpflichten sich die jeweiligen Parteien, einen angemessenen Datenschutzstandard bei der Datenübermittlung einzuhalten und den Betroffenen die nötigen Rechte einzuräumen. Zu beachten ist hier jedoch, dass von diesen Klauseln nur abgewichen werden darf, um das Schutzniveau zu erhöhen, nicht jedoch um Betroffene zu benachteiligen.
Anders als beispielsweise der mit Inkrafttreten der DSGVO gewährten „Schonfrist“, sieht das EuGH Urteil keine Übergangsfrist vor. Alle Datentransfers auf Grundlage des Privacy Shields sind aktuell rechtswidrig und eine andere rechtsichere Lösung muss geschaffen werden.
Haben Sie bereits Standardvertragsklauseln im Einsatz, ist das schon ein sehr guter Anfang. Hier muss dennoch je Einzelfall geprüft werden, ob diese auch wirksam sind.
Stand: 01.10.2020
Einen Kommentar schreiben