EuGH kippt „Privacy Shield“ für Daten-Übermittlungen in die USA

(16.07.2020)

Der Europäische Gerichtshof (EuGH) hat heute mit sofortiger Wirkung das „EU-U.S.-Privacy-Shield“-Abkommen für ungültig erklärt. Es biete keinen angemessenen Datenschutz („Schrems II“, Rs. C-311/18).

Es besteht Handlungsbedarf für ein Unternehmen, wenn es

  1. personenbezogene Daten in die USA übermittelt und
  2. das auf der Rechtsgrundlage des „Privacy Shield“.

Wenn beides zutrifft, muss eine andere Rechtsgrundlage für die Datenübermittlung in die USA gefunden werden. Es bietet sich hier der Abschluss eines EU-Standardvertrags an (dass diese Möglichkeit weiterhin besteht, hat der EuGH heute ebenfalls anerkannt).

Ist das Urteil relevant für Sie? 

fox-on hat bisher so beraten, dass möglichst EU-Standardverträge geschlossen werden sollten, da „Privacy Shield“ schon eine Weile in der Diskussion stand. Wenn Sie also in solchen Fällen bereits EU-Standardverträge abgeschlossen haben, besteht für Sie kein Handlungsbedarf.

Das gilt nach unserer Kenntnis beispielsweise für Microsoft 365 (ehem. als Office 365 bekannt), Dropbox Business oder für die uns bekannten Konzern-Konstellationen unserer Kunden, weil sie alle (auch) auf EU-Standardverträgen beruhen.

Für andere Cloud- und Software-as-a-Service-Anbieter aus den USA mag das jedoch anders sein.

Was ist, wenn Sie Privacy Shield bisher im Einsatz haben? 

Soweit bei Ihnen Datenübermittlungen auf „Privacy Shield“ beruhen, melden Sie sich bitte zeitnah bei fox-on, damit wir gemeinsam eine gute Lösung finden und Ihrem jeweiligen Vertragspartner anbieten können.

Zum Hintergrund des Urteils:

  • Datenübermittlungen außerhalb der EU bzw. des EWR benötigen eine separate Rechtsgrundlage, da das allgemeine Datenschutz-Niveau in den USA aus Sicht der EU nicht ausreichend ist.
  • Früher konnten sich US-Unternehmer nach dem damaligen „Safe-Harbor“-Abkommen im Datenschutz selbst zertifizieren. Die EU-Kommission hatte das anerkannt. Der EuGH aber sah das anders und erklärte das Vorgehen im Jahr 2015 für rechtswidrig (Urteil „Schrems I“, benannt nach dem Kläger).
  • Daraufhin erarbeiteten die EU und USA ein neues Abkommen, nämlich „Privacy-Shield“. Jetzt erklärte der EuGH auch dieses Abkommen für ungültig („Schrems II“). Das Schutzniveau in den USA sei nicht gleichwertig mit dem in der EU, weil amerikanische Behörden trotz des Abkommens auf die Daten zugreifen könnten.

Zusammenfassung:
Wenn Daten bisher aufgrund von „Privacy Shield“ in die USA übermittelt werden, muss kurzfristig ein EU-Standardvertrag abgeschlossen werden oder die Datenübermittlung eingestellt werden. fox-on berät Sie hierzu im Einzelfall.

Verwandte Beiträge