EuGH kippt „EU-US Privacy Shield“ – Folgen für Unternehmen

© BBH

Am 16.7.2020 hat der Europäische Gerichtshof (EuGH) den sog. EU-US Privacy Shield gekippt (Rs. C-311/18). Damit ereilt das Abkommen das gleiche Schicksal wie die Vorgängervereinbarung, das Safe-Harbor-Abkommen, das der EuGH bereits 2015 kassiert (Rs. C-362/14) hat. Unternehmen sind jetzt aufgefordert, aktiv zu werden, um nicht ins Visier von Aufsichtsbehörden zu geraten.

Was regelte der Privacy Shield und warum wurde er gekippt?

Der EU-US Privacy Shield eröffnete eine Möglichkeit, personenbezogene Daten aus Europa in die USA zu übermitteln. Hintergrund ist, dass nach den Vorgaben der europäischen Datenschutz-Grundverordnung (DS-GVO) personenbezogene Daten von EU-Bürgern in Länder außerhalb der EU nur unter bestimmten Voraussetzungen exportiert werden dürfen. Dies ist zum einen der Fall, wenn die EU-Kommission in einem sog. Angemessenheitsbeschluss festgestellt hat, dass im Zielland ein angemessener Datenschutz gewährleistet ist. Einen solchen Angemessenheitsbeschluss stellte der jetzt gekippte EU-US Privacy Shield dar. Er beruht auf einer Vereinbarung zwischen der EU-Kommission und den USA und attestierte, dass es keinen Konflikt zwischen den Grundrechten der Menschen in der EU und den US-Gesetzen gebe. Dies sahen die europäischen Richter jetzt anders und erklärten das Abkommen für ungültig.

Nach Auffassung des Gerichts bestehe in den USA wegen der weitreichenden Zugriffsmöglichkeiten der Behörden gerade kein gleichwertiger Schutz für die Daten von EU-Bürgern. Die US-Überwachungsprogramme seien nicht auf das zwingend erforderliche Maß beschränkt. Zudem wurde bemängelt, dass es für EU-Bürger keinen ausreichenden Rechtsschutz gebe.

Übermittlung auf Basis der Standardvertragsklauseln

Das EuGH-Urteil bedeutet dennoch nicht, dass Datentransfers in die USA nunmehr grundsätzlich unzulässig sind. Soweit kein Angemessenheitsbeschluss vorliegt, ist die Übermittlung von personenbezogenen Daten nach der DS-GVO nämlich auch auf Basis sog. Standardvertragsklauseln erlaubt. Bei den Standardvertragsklauseln handelt es sich um Formulierungen, die vertraglich die Einhaltung ausreichender Datenschutzstandards auch in Staaten ohne angemessenes Schutzniveau garantieren und die die EU-Kommission abgesegnet hat. Daran wolle der EuGH nach eigener Aussage auch nicht rütteln. Zugleich betonte das Gericht aber auch, dass Unternehmen verpflichtet seien, vor der Übermittlung genau zu prüfen, ob im Empfängerland das erforderliche Datenschutzniveau eingehalten wird, denn die Garantien seien wenig wert, wenn Unternehmen in den USA gezwungen werden können, den Behörden personenbezogene Daten zugänglich zu machen. Unternehmen müssen das EU-Datenschutzniveau also nicht nur garantieren, es muss auch tatsächlich möglich sein, es einzuhalten. Datenschutzbehörden seien verpflichtet, Transfers von Daten auszusetzen oder zu verbieten, wenn sie der Auffassung seien, dass die Standardvertragsklauseln im Empfängerland praktisch nicht eingehalten werden oder nicht eingehalten werden können.

Was jetzt zu tun ist

Unternehmen sollten jetzt ermitteln, ob sie selbst oder ihre Auftragsverarbeiter personenbezogene Daten (z.B. von Kunden oder Mitarbeitern) an Unternehmen in den USA übermitteln, die bisher unter dem EU-US Privacy Shield zertifiziert waren. Eine entsprechende Liste finden Sie hier. Sollte dies der Fall sein, sind die zugrunde liegenden vertraglichen Vereinbarungen daraufhin zu prüfen, ob sie die notwendigen Standardvertragsklauseln enthalten und ob dadurch die Einhaltung eines angemessenen Datenschutzniveaus garantiert wird. Ist dies nicht der Fall, sind Anpassungen erforderlich, um empfindliche Sanktionen der Aufsichtsbehörden zu vermeiden.

Ansprechpartner: Dr. Jost Eder/Alexander Bartsch/Thomas Schmeding/Dr. Maximilian Festl-Wietek

Share
Weiterlesen
Zahlen, Papier, Klemmbrett

09 Juli

Keine Sondernetzentgelte für singulär genutzte Betriebsmittel ab 2026?

Am 10. Juni 2025 hat die Beschlusskammer 8 der Bundesnetzagentur (BNetzA) überraschenderweise den Entwurf einer „Festlegung zu Entgelten für singulär genutzte Betriebsmittel gemäß § 19 Abs. 3 StromNEV“ veröffentlicht und zur Konsultation freigegeben. Keine Sondernetzentgelte für singulär genutzte Betriebsmittel ab...

Himmel, Wolken, Co2

07 Juli

Weniger Bürokratie beim CBAM – Status quo

Die CO2-Bepreisung in der EU führt bekanntermaßen regelmäßig zum sogenannten Carbon Leakage, das bedeutet: Emissionsintensive Industrieunternehmen verlagern ihre Produktion. Um dem entgegenzuwirken, wurde der CO2-Grenzausgleichsmechanismus (Carbon Border Adjustment Mechanism – CBAM) ins Leben gerufen.   Schon seit Inkrafttreten der VO...