Diese Website verwendet Cookies, um die Nutzerfreundlichkeit zu verbessern. Sie stimmen dem durch die weitere Nutzung der Website zu. Weitere Infos zu Cookies und deren Deaktivierung finden Sie hier.

For English version click here.

EuGH kippt „Privacy Shield“ - Was jetzt zu tun ist

28.07.2020        IT-Sicherheit
EuGH kippt „Privacy Shield“ - Was jetzt zu tun ist
Sofortiges Handeln zur Erfüllung der rechtlichen Anforderungen erforderlich (iStock 648413674)

Der EuGH hat mit seiner „Schrems II“ genannten Entscheidung das Privacy Shield für unwirksam erklärt. Damit stehen Datentransfers in die USA vor hohen Hürden. Auch die Standardvertragsklauseln können nur noch unter bestimmten Anforderungen eingesetzt werden.

Allgemeine Rechtslage bei internationalen Datentransfers

Grundsätzlich ist die Übermittlung von personenbezogenen Daten in Drittstaaten nach der DSGVO unzulässig, wenn das dortige Datenschutzniveau nicht von der EU als gleichwertig anerkannt ist. Eine solche Anerkennung gibt es bisher aber nur für den EWR, die Schweiz und einige wenige Ländern, wie z.B. Neuseeland und Uruguay.

Für die Übermittlung in Drittstaaten, wie die USA, China oder Indien, verwenden Unternehmen daher regelmäßig Standardvertragsklauseln (SCC). Hierbei handelt es sich um vorformulierte Klauseln, die von der EU-Kommission beschlossen wurden und einen ausreichenden Datenschutz gewährleisten sollen, wenn sie unverändert abgeschlossen werden.

Unternehmen in den USA konnten sich bislang alternativ für das „Privacy Shield“ zertifizieren und so eine Übermittlung ermöglichen. Das Privacy Shield war eine Vereinbarung zwischen USA und EU mit dem Ziel, eine Übermittlung personenbezogener Daten zwischen den USA und der EU zu gewährleisten. Diese Vereinbarung hat der EuGH nun für unwirksam erklärt.      

Was war passiert?

Hintergrund des Urteils war ein mehrjähriger Rechtsstreit zwischen dem Österreicher Maximilian Schrems und Facebook. Der Österreicher machte dabei geltend, dass eine Datenübermittlung in die USA auf der von Facebook genutzten Grundlage gegen die DSGVO verstößt.

Bereits 2015 entschied der EuGH in seinem „Schrems I“ genannten Urteil, dass das damalige „Safe Harbor“-Abkommen zwischen den USA und der EU unwirksam ist und eine Verarbeitung auf dieser Grundlager daher nicht in Betracht kommt. Als Reaktion darauf wurde zwischen der EU und den USA das Privacy Shield ausgehandelt. Darauf beruhte nun die Datenübermittlung von Facebook.

Schrems legte dagegen erneut Beschwerde ein. Diesmal machte er geltend, dass es gegen die Bestimmungen der DSGVO verstößt, wenn die irische Facebook-Tochtergesellschaft an den US-Mutterkonzern Daten weiterleitet, obwohl dieser zu einer Offenlegung der Daten gegenüber den US-Behörden verpflichtet sei, ohne dass sich Betroffene dagegen wehren könnten.    


Privacy Shield unwirksam

Mit Urteil vom 16.7.2020 (Rs. C-311/18, Facebook Ireland / Schrems II) entschied der EuGH nun, dass auch das Privacy Shield EU-rechtswidrig und damit unwirksam ist.

Begründet hat der EuGH seine Entscheidung im Wesentlichen damit, dass das Privacy Shield keinen ausreichenden Schutz der Betroffenen vor einer unrechtmäßigen Verarbeitung seiner Daten bietet. Problematisch wäre hier vor allem, dass das Privacy Shield lediglich die beitretenden Unternehmen verpflichtet, aber einen Zugriff etwa von Sicherheitsbehörden nicht einschränkt. Hierin sah der EuGH einen Verstoß gegen die Vorgaben der DSGVO.

Zum Beispiel sieht das amerikanische Recht etwa mit dem FISA Act, der Auslandsaufklärung und Spionageabwehr betrifft, Regelungen vor, die Sicherheitsbehörden Zugriff auf Daten gewähren, ohne dass der Betroffene sich dagegen verteidigen könne, so der EuGH.

Vor diesem Hintergrund sind die datenschutzrechtlichen Anforderungen nicht erfüllt und das Privacy Shield daher unwirksam.


SCC unter bestimmten Bedingungen möglich

Die SCC, die der EuGH gleichermaßen prüfen musste, sind laut EuGH hingegen grundsätzlich weiterhin ein geeignetes Mittel, um eine Datenübermittlung ins Drittland zu ermöglichen.

Dies gilt allerdings nur, wenn sichergestellt ist, dass lokale Gesetze des Drittlandes den Schutz der SCC nicht vereiteln. Ist dies der Fall, ist eine Datenübermittlung trotz SCC unzulässig, es sei denn, es wurden zusätzliche Sicherheitsvorkehrungen getroffen, die vor einem unberechtigten Zugriff schützen.

Ansonsten können die nationalen Aufsichtsbehörden eine Übermittlung auf Basis der SCC untersagen und sanktionieren. Hier drohen Bußgelder bis 20 Mio Euro oder 4% Konzernjahresumsatz.

Aufgrund der Feststellungen zu FISA Act für die USA, ist davon auszugehen, dass gerade für die Übermittlung in die USA somit weitergehende Sicherheitsvorkehrungen getroffen werden müssen, um eine Datenschutzverletzung zu vermeiden.

Als Reaktion auf die Entscheidung hat der Europäische Datenschutzbeauftragten-Ausschuss bereits eine FAQ-Liste bzw. Empfehlungen herausgegeben. Hier ist klar statuiert, dass Übermittlungen in die USA den zuständigen Aufsichtsbehörden angezeigt werden müssen, wenn keine geeigneten Schutzmaßnahmen getroffen werden können.

 

Privacy Shield – Was nun?

Unternehmen sollten prüfen, ob sie Tools oder Dienstleister in den USA einsetzen und deren Nutzung ausschließlich auf dem Privacy Shield basiert. Falls ja besteht Handlungsbedarf.

Die Anbieter sollten kontaktiert werden, um abzuklären, ob die Nutzung der Dienste ausschließlich aus Europa erfolgen kann oder ob eine Umstellung auf die SCC möglich ist. Falls keine Nutzung mit europäischem Server oder SCC möglich ist, sollten angesichts der drohenden Sanktionen die Tools abgeschaltet werden und jede weitere Datenübermittlung gestoppt werden. Aber auch bei einer Umstellung auf SCC müssen weitere Sicherheitsmaßnahmen kritisch geprüft werden (z.B. Verschlüsselung).


Standardvertragsklauseln (SCC) – Alles ok?

Auch der Abschluss von SCC bzw. die bereits mit Dienstleistern vereinbarte SCC müssen den neuen Anforderungen des EuGH entsprechen. Bestehende SCC müssen daher ebenfalls überprüft werden.

So sollten nach Ansicht der lokalen Aufsichtsbehörden Abfragen bei den Dienstleistern im Ausland erfolgen, ob es dort lokale Gesetze gibt, die der Einhaltung der SCC entgegenstehen könnten. Falls ja, besteht auch hier Handlungsbedarf: Die Datenverarbeitung muss dann zusätzlich abgesichert werden (z.B. Verschlüsselung der Daten). Die weiteren Sicherungsmaßnahmen sollten durch Ergänzung der SCC vertraglich vereinbart werden. Sind keine weiteren Sicherungsmaßnahmen möglich, oder zweckmäßig, muss die Übermittlung der lokalen Aufsichtsbehörde angezeigt werden.

Alternativ kann man auch prüfen, ob ggf. eine Ausnahme nach Art. 49 DSGVO greift. So kann eine Datenübermittlung ausnahmsweise erlaubt sein, wenn dies zwingend für eine Vertragsdurchführung erforderlich ist. Dies ist immer eine Einzelfallentscheidung.

Sollten SCC gänzlich neu vereinbart werden, sollte bei einer Kettenauftragsverarbeitung darauf geachtet werden, dass die SCC zwischen den jeweils richtigen Parteien vereinbart werden. Aber auch bei bestehenden SCC lohnt sich einer Überprüfung von Verarbeitungsketten.

 

Keine Übergangsfrist - Unmittelbarer Handlungsbedarf

Bereits unmittelbar nach dem Urteil mehrten sich die Fragen nach einer möglichen Übergangsfrist bzw. ab wann das Urteil umzusetzen ist. Der EuGH hat in einer offiziellen Stellungnahme mitgeteilt, dass es keine Übergangsfrist gibt und das Privacy Shield mit sofortiger Wirkung unwirksam ist. Unternehmen und andere Verantwortliche müssen daher unverzüglich handeln, um Wege für eine sichere und DSGVO-konforme Übermittlung und Verarbeitung von personenbezogenen Daten in die USA und andere Drittstaaten zu finden und zu implementieren.


Dies ist ein Gastbeitrag von

Philipp M. Kühn
Rechtsanwalt
Ebner Stolz

www.ebnerstolz.de


Was kann Link11 für mich tun?

Wenn Sie wissen möchten, wie Sie unter Einhaltung der europäischen Rechtsnormen Ihre Applikationen und Netzwerke gegen Cyber-Attacken schützen können, dann sprechen Sie mit den Cyber-Resilience-Experten von Link11. Wir freuen uns, Sie zu dem Thema zu beraten und Alternativen aufzuzeigen.


Link11 kontaktieren


Webinar zum technischen Hintergrund

Aufgrund aktueller Nachfragen haben wir zusätzlich ein Webinar aufgezeichnet, um die technische Einordung inbesondere im Hinblick auf Content Delivery Networks (CDNs) zu beleuchten und rechtlich bewerten zu lassen.


Link11 Webinare


Neueste Blogbeiträge

Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.

Informiert bleiben!

Link11 Blog abonnieren mit News zum Unternehmen, IT-Security, Cybercrime

Link11GmbH​

Folgen Sie Link11 auf Twitter