Montag, 20.07.2020

Foto: G. Fessy @ CJUE

Vorplatz des EuGH mit Türmen und Anneau: Der Europäische Gerichtshof hält die Datensicherheit in den USA für untragbar.

Recht & Steuern
Internationaler Datenaustausch

EuGH kippt Privacy Shield: Was Mittelständler jetzt wissen müssen

Der Europäische Gerichtshof (EuGH) hat das Privacy-Shield-Abkommen gekippt. Was das Urteil für mittelständische Unternehmen bedeutet, erläutert Nikolaus Bertermann, Fachanwalt für IT-Recht.

Mit dem Privacy-Shield-Abkommen sollten Datentransfers zwischen den USA und Europa rechtlich auf sichere Füße gestellt werden. Doch seit vergangener Woche ist klar: Unternehmen, die sich allein auf den Privacy Shield verlassen haben, müssen neu denken. Denn nach Ansicht des EuGH genügt der Privacy Shield den Anforderungen der Datenschutz-Grundverordnung (DSGVO) nicht. Das Gericht hat daher zum zweiten Mal geurteilt, dass die Daten europäischer Bürger in den USA nicht ausreichend geschützt sind.

Aktuelles aus dem Mittelstand: Folgen Sie uns auf Zum Linkedin Profil von Markt und Mittelstand und Zum Linkedin Profil von Markt und Mittelstand


Was genau hat der EuGH entschieden?

Der EuGH hat mit dem Urteil im „Schrems II“-Verfahren den sogenannten Angemessenheitsbeschluss für den EU-US Privacy Shield für ungültig erklärt. Mit einem Angemessenheitsbeschluss kann die EU-Kommission das Schutzniveau einzelner Länder oder Datenschutzabkommen mit Ländern datenschutzrechtlich als sicher einstufen. Hat der Beschluss nun keinen Bestand mehr, heißt das: Alle Datentransfers in die USA, die allein auf den Privacy Shield gestützt werden, sind unzulässig.

 

Welche Unternehmen sind davon betroffen?

Am stärksten betroffen von der Entscheidung sind internationale Cloud-Dienste und Social-Media-Plattformen, bei denen grenzüberschreitender Datentransfer – vor allem mit Blick auf personenbezogene Daten – Teil des Geschäftsmodells ist. Das gilt aber auch für Mittelständler, die zum Beispiel Newslettersysteme oder CRM-Systeme (CRM = Customer Relationship Management) von US-Anbietern nutzen oder personenbezogene Daten durch Unternehmen in den USA oder anderen Drittstaaten verarbeiten lassen. Die reine Geschäftskorrespondenz zwischen Unternehmen und US-Kunden oder US-Partnern ist nicht betroffen.

 

Worauf müssen sich Unternehmen jetzt einstellen?

Unternehmen, die sich ausschließlich auf das EU-US-Privacy-Shield-Abkommen verlassen haben, haben nun ein Problem. Sie müssen mit ihrem Vertragspartner auf eine andere Rechtsgrundlage für den Drittlandstransfer, zum Beispiel auf die EU-Standardvertragsklauseln, umstellen oder die Datenverarbeitung anpassen. Das bedeutet beispielsweise, den Anbieter zu wechseln oder die Daten zu verschlüsseln oder zu anonymisieren.

 

Viele US-Unternehmen bieten auch den Abschluss von EU-Standardvertragsklauseln an. Diese hat der EuGH nicht für ungültig erklärt. Er sagt aber, dass beim Einsatz von EU-Standardvertragsklauseln nun zusätzlich geprüft werden muss, ob in dem betreffenden Drittland tatsächlich angemessen durchsetzbare Rechte und wirksame Rechtsbehelfe bestehen. Wenn das nicht der Fall ist, dürfen – und müssen – die zuständigen Aufsichtsbehörden entsprechende Datenübermittlungen aussetzen oder verbieten. Die Aufsichtsbehörden können Datentransfers deshalb trotz abgeschlossener EU-Standardvertragsklauseln ab sofort für unzulässig erklären und untersagen. Für die meisten Datenaustausche mit den USA werden EU-Standardvertragsklausel daher nicht mehr ausreichend sein.

 

Wie wird das passende Datenschutzniveau bestimmt?

Maßstab ist immer die EU-Datenschutzgrundverordnung (DSGVO). Sie bildet für personenbezogene Daten in der EU und im Europäischen Wirtschaftsraum den Rechtsrahmen, der die Grundrechte der Betroffenen schützt und strenge Vorgaben für Art und Umfang von Datenverarbeitungen macht. Werden Daten außerhalb dieses geschützten Raumes verarbeitet, müssen die Unternehmen nach Maßgabe der DSGVO zusätzliche Schutzmaßnahmen treffen.

 

Was müssen Unternehmen jetzt tun?

Die Kontrolle, ob Daten nach gültigen Regeln übermittelt werden, ist Sache der nationalen Aufsichtsbehörden. Sie werden nun das EuGH-Urteil auswerten und darauf aufbauend Empfehlungen veröffentlichen. Zu erwarten ist, dass sie den Unternehmen eine gewisse Übergangszeit einräumen werden, ihre Datenverarbeitungen anzupassen oder umzustellen. Bis dahin sollten Unternehmen aber nicht untätig bleiben, sondern sie jetzt prüfen: Welche Daten übermitteln wir in die USA? Sind diese Daten unternehmenskritisch? Und wie schnell können wir reagieren, wenn die Behörden doch kurzfristig den Datentransfer verbieten? Firmen, die sich zuletzt ausschließlich auf den EU-US Privacy Shield verlassen haben, müssen schnell alternative Vereinbarungen treffen, das werden meist die EU-Standardvertragsklauseln sein. Doch Vorsicht: Auch Standardvertragsklauseln bieten nicht in jedem Fall die Garantie, dass sie auf Dauer zulässig sind. Um auf der sicheren Seite zu sein, sollten Unternehmen, die Daten in den USA verarbeiten, prüfen, ob sie den Personenbezug von Daten aufheben oder begrenzen können, indem sie die Daten anonymisieren oder besonders verschlüsseln. Langfristig kann das Thema Datenaustausch mit US-Unternehmen nur politisch gelöst werden – die EU-Kommission und die US-Regierung müssen sich an einen Tisch setzen und Regelungen zur Wahrung der Grundrechte treffen.

Autor

Nikolaus Bertermann ist Fachanwalt für IT-Recht und Partner im Bereich Datenschutz bei SKW Schwarz Rechtsanwälte in Berlin.

Foto: SKW Schwarz Rechtsanwälte