open search
close
DatenschutzNeueste Beiträge

Ende für Privacy Shield: Karten für transatlantische Datenübermittlung neu gemischt

Print Friendly, PDF & Email

Nachdem der EuGH das Safe Harbour-Abkommen im Jahr 2015 für unwirksam erklärt hatte, schlossen die USA und die EU kurz darauf das sog. Privacy Shield-Abkommen, wonach die Übertragung von personenbezogenen Daten von der EU in die USA nunmehr rechtssicher geregelt werden sollte. Das Abkommen wurde von einigen Datenschutzexperten von Beginn an kritisiert, da es – in gleichem Maße wie das Safe Harbour-Abkommen – keine sichere Grundlage für eine transatlantische Datenübermittlung bieten würde. Der EuGH sieht das offenbar genauso.

Worum geht es in der Entscheidung?

Das aktuelle Urteil des EuGH (hier geht’s zur Pressemitteilung) geht – wie bereits die Entscheidung über das Safe Harbour-Abkommen – zurück auf eine Beschwerde des österreichischen Juristen und Netzaktivisten Max Schrems. Dieser sieht in der Übertragung seiner Facebook-Daten von Irland in die USA einen Verstoß gegen europäisches Datenschutzrecht, da Facebook in den USA nicht dasselbe Schutzniveau für seine Nutzerdaten gewährleisten könne wie in der EU. Dies liege insbesondere an den weitreichenden Eingriffsrechten, die US-Behörden (z.B. FBI und NSA) gegenüber Unternehmen mit Blick auf persönliche Daten von Nutzern bzw. Kunden durchsetzen können. Das Gericht hat in diesem Zusammenhang das Privacy Shield-Abkommen zwischen der EU und den USA für unwirksam erklärt. Eine Datenübermittlung auf Basis sogenannter Standardvertragsklauseln hat es dagegen dem Grunde nach für wirksam erachtet.

Datenübermittlung EU/USA: Privacy Shield versus Standardvertragsklauseln

Bei der Datenübermittlung zwischen der EU und den USA gibt es unterschiedliche Wege, um den Erfordernissen der strengen Datenschutzvorschriften der EU zu genügen. Zum einen ist es möglich, sogenannte Standardvertragsklauseln zu vereinbaren, die von der europäischen Kommission mit Beschluss 2010/87 zur Verfügung gestellt wurden. Diese Klauseln regeln die Rechte und Pflichten des Datenexporteurs in der EU sowie des Datenimporteurs in den USA und beinhalten durchsetzbare Rechte und wirksame Rechtsbehelfe zugunsten der betroffenen Person. Demgegenüber konnten sich bis zuletzt Unternehmen zur wirksamen Datenübertragung auch dem Privacy Shield unterwerfen: Im Wege einer Selbstzertifizierung verpflichten sich hierbei Unternehmen zur Einhaltung der Regelungen des Privacy Shield-Abkommens, welche die rechtskonforme Übermittlung von personenbezogenen Daten aus der EU in die USA betreffen. Der EuGH kam nun aber zu dem Ergebnis, dass das Privacy Shield-Abkommen den Anforderungen der DSGVO nicht genügt. Nach Ansicht der Richter räumt das Abkommen den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang ein, sodass beispielsweise US-Behörden auf personenbezogene Daten zugreifen und diese verwenden können. Mit Blick auf das vom Unionsrecht verlangte vergleichbare Schutzniveau des Drittstaates, in welchen die personenbezogenen Daten übermittelt werden, hat der Gerichtshof dem Abkommen daher eine Absage erteilt.

Bleibt Weg über Standardvertragsklauseln möglich?

Im gleichen Atemzug haben die Richter die Möglichkeit der Nutzung von Standardvertragsklauseln zur rechtmäßigen Übermittlung von personenbezogenen Daten in die USA weiterhin für möglich erachtet. Allerdings macht der Gerichtshof hierbei eine wesentliche Einschränkung: In der Praxis muss gewährleistet sein, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und die Übermittlung auf Grundlage der Standardvertragsklauseln ausgesetzt oder verboten wird, sofern gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Aus der Pressemitteilung geht hervor, dass die Richter diese Einschränkung bei der Verwendung von Standardvertragsklauseln allgemein (und nicht konkret für die transatlantische Datenübermittlung) heranziehen. Wenn die grundsätzlich datenschutzkonformen Standardvertragsklauseln nun die Übertragung von Daten in die USA regeln, stellt sich aber unweigerlich die Frage, wie der Datentransfer als rechtskonform eingestuft werden kann. Denn der EuGH ist in der vorliegenden Entscheidung schließlich zu dem Ergebnis gekommen ist, dass das US-Rechtssystem Zugriffsmöglichkeiten von US-Behörden auf personenbezogene Daten vorsieht, wodurch in den USA kein vergleichbares Schutzniveau wie in der EU gewährleistet ist.

Bedeutung für die Praxis und Aussicht

Unternehmen, die Daten zwischen der EU und den USA austauschen, können sich nach der vorliegenden Entscheidung des EuGH eindeutig nicht mehr auf das Privacy Shield-Abkommen berufen. Verstößt der transatlantische Datentransfer aber auch bei Verwendung von Standardvertragsklauseln gegen EU-Recht? Hier ist die Entscheidung weniger eindeutig. Dem Grunde nach seien die Klauseln weiterhin ein Weg zur rechtkonformen Übertragung von Daten in Drittstaaten. Ungeklärt ist jedoch, ob die Datenübertragung über Standardvertragsklauseln auch in die USA möglich bleiben soll. Es bleibt abzuwarten, inwieweit Datenschutzbehörden die konkrete Verwendung von Standardvertragsklauseln mit US-Unternehmen (insbesondere mit Blick auf das vergleichbare Schutzniveau) bewerten und in Zukunft den Datentransfer in die USA stärker beaufsichtigen. Unter Berücksichtigung der weitreichenden Eingriffsmöglichkeiten von US-Behörden in personenbezogene Daten von Unternehmen stellt sich darüber hinaus die Frage, ob der EuGH Standardvertragsklauseln bei Übertragung von Daten in die USA auch in zukünftigen Entscheidungen für wirksam erachtet.

Alexander Steven
8 beiträge

Alexander Steven




Alexander Steven unterstützt vor allem bei Kündigungsschutzverfahren, in der Gestaltung von Anstellungs-, Aufhebungs- und Abwicklungsverträgen sowie in der Beratung zu betriebsverfassungsrechtlichen Fragen.
Verwandte Beiträge
CoronaDatenschutzHome OfficeNeueste Beiträge

Bitte zunächst Fieber messen – oder doch nicht?

Nachdem aufgrund der Corona-Pandemie in vielen Unternehmen Homeoffice angeordnet worden ist oder immer noch praktiziert wird, stellt sich nunmehr die Frage, welche Maßnahmen bei der Rückkehr zum Arbeitsplatz getroffen werden müssen und dürfen, um zu prüfen, ob ein Arbeitnehmer sich gegebenenfalls mit dem Corona-Virus angesteckt hat. Ein aus den Medien bekanntes Mittel ist dabei die Fiebermessung. In vielen Ländern wird dies bereits praktiziert, in Deutschland…
DatenschutzHaftungNeueste Beiträge

Datenschutzgrundverordnung: Wie weit reicht der Auskunftsanspruch?

„Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können“, heißt es in Erwägungsgrund 63 zur Datenschutzgrundverordnung (DSGVO). Gemeint ist der Auskunftsanspruch gemäß Art. 15 DSGVO. Arbeitgeber können jederzeit mit einem Antrag auf Auskunft konfrontiert werden und vor der Frage stehen: Was genau wird eigentlich von diesem Auskunftsanspruch…
AllgemeinArbeitsschutzArbeitsvertragComplianceCoronaDatenschutzKrankheitNeueste Beiträge

Immunitätsausweis: Möglichkeiten und Risiken für Arbeitgeber

Er ist vorerst vom Tisch. Doch die Debatte um die Einführung eines sog. Immunitäts-Passes/Immunitätsausweises geht weiter. Das Für und Wider wird aktuell heftig in der Politik und den Medien diskutiert. Das Bundesministerium für Gesundheit (BMG) um Gesundheitsminister Jens Spahn hat die Frage zunächst dem Ethikrat vorgelegt. Doch für den Minister geht es nicht um das „Ob“, sondern „Wann“ und „Wie“ der Immunitätsausweis eingeführt wird. Dieser…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.