Datenschutz: Der EuGH erklärt Datenübermittlungen auf Grundlage des Privacy Shield für unwirksam Bild: © Gerd Altmann - pixabay.com

Datenschutz: Der EuGH erklärt Datenübermittlungen auf Grundlage des Privacy Shield für unwirksam

Durch dieses Urteil ist ab sofort die Übermittlungen von personenbezogenen Daten aus der EU in die USA nicht mehr zulässig, sofern diese ausschließlich auf dem Privacy Shield beruhen.

Der Europäische Gerichtshof (EuGH) hat am vergangenen Donnerstag (Urteil vom 16.07.2020, Az. C-311/18) den sog. Privacy-Shield-Beschluss der EU-Kommission für ungültig erklärt. Damit sind ab sofort Übermittlungen von personenbezogenen Daten aus der EU in die USA nicht mehr zulässig, sofern diese ausschließlich auf dem Privacy Shield beruhen. Auch der Datentransfer unter Verwendung der Standardvertragsklauseln der EU-Kommission (Standarddatenschutzklauseln) unterliegt künftig strengeren Auflagen.

Trotz noch zahlreicher offener Fragen wird den Unternehmen empfohlen, sich spätestens jetzt mit dem Thema Datenübermittlung in Drittländer intensiver zu beschäftigen und, sofern erforderlich, erste Anpassungen vorzunehmen. Es sollte damit gerechnet werden, dass es in nicht allzu ferner Zukunft erneut zu einer koordinierten Prüfungsaktion der Datenschutzbehörden zu diesem Thema kommen wird (vgl. Prüfungsaktion vom Herbst 2016). Den Unternehmen wird daher empfohlen, sich mindestens an den nachfolgenden drei Schritten zu orientieren:

(1) Überblick verschaffen:

Falls nicht bereits im Verarbeitungsverzeichnis (Art. 30 DSGVO) vollständig (und aktuell) enthalten, sollten sämtliche Transfers von personenbezogenen Daten in Drittländer und deren jeweilige Grundlage identifiziert werden. Hierzu zählen nicht nur konzerninterne Datenübermittlungen wie Beschäftigten- oder Kundendaten, sondern sämtliche personenbezogene Daten, die an Dritte übermittelt werden, z. B. an IT-, Kommunikations- und andere Dienstleister.

(2) Bewerten und Anpassen:

Danach ist zu prüfen, ob die jeweiligen Übermittlungen in das Drittland auf einer zulässigen Grundlage beruhen oder ob diese angepasst werden müssen. Hierbei gilt insbesondere:

  • Übermittlungen an US-amerikanische Empfänger, die ausschließlich auf dem Privacy Shield beruhen, sind nicht mehr zulässig. Sofern vom jeweiligen Anbieter bzw. Empfänger angeboten, sollte der Datentransfer auf eine andere Grundlage umgestellt werden, wie insbesondere auf geeignete Datenschutz-Garantien (vgl. Art. 46 DSGVO) oder – falls einschlägig – auf einen Ausnahmetatbestand nach Art. 49 DSGVO (z. B. ausdrückliche Einwilligung). Eine Übersicht mit den verschiedenen Übermittlungsmöglichkeiten findet sich im Kurzpapier Nr. 4 der Datenschutzkonferenz „Datenübermittlung in Drittländer“.

 

  • Falls ein solcher Umstieg nicht möglich sein sollte, ist die Übermittlung auszusetzen oder gänzlich einzustellen und stattdessen sind alternative Anbieter bzw. Verarbeiter in Betracht zu ziehen.

 

  • Bei einem Wechsel des Anbieters oder des Transfermechanismus sind die Datenschutzinformationen (z. B. Datenschutzerklärungen auf der Webseite) entsprechend anzupassen. Hinweise zum angemessenen Datenschutzniveau allein aufgrund der Listung des Empfängers in der Privacy-Shield-Liste sind zu entfernen. 

 

  • Die Entscheidung des EuGHs zur Ungültigkeit des Privacy-Shield-Beschlusses betrifft nur die Datenübermittlung an US-amerikanische Empfänger, nicht jedoch die Angemessenheitsbeschlüsse der Kommission für andere Drittländer, wie insbesondere Schweiz, Kanada, Japan oder Neuseeland. Diese Beschlüsse bleiben wirksam, d. h. Datenübermittlungen in diese Länder auf Grundlage dieser Beschlüsse bleiben weiterhin zulässig. Eine Liste mit den gültigen Angemessenheitsbeschlüssen der Kommission (derzeit für zwölf Drittländer) finden Sie hier.

 

  • Die Entscheidung des EuGH zu den Standarddatenschutzklauseln gilt hingegen für sämtliche Datenübermittlungen in Drittländer, die auf diesen Klauseln beruhen, d. h. der bloße Vertragsabschluss reicht nicht (mehr) aus. Stattdessen muss der Datenexporteur zusätzlich und in jedem Einzelfall prüfen, ob die in dem Standardvertrag enthaltenen Garantien auch eingehalten werden können. Hierzu können neben der Bewertung des Datenschutzniveaus im betreffenden Drittland auch sonstige Schutzmaßnahmen herangezogen werden, wie z. B. die Implementierung zusätzlicher technischer oder organisatorischer Maßnahmen (Verschlüsselung, Pseudonymisierung, o. Ä.).
Foto: © geralt – pixabay