Privacy-Shield ertrunken: Transatlantische EU-US-Datenübertragung per Datenschutz-Schild illegal

Privacy-Shield ertrunken: Transatlantische EU-US-Datenübertragung per Datenschutz-Schild illegal

16.07.2020 | 12:11 Uhr

Privacy-Shield ertrunken: Transatlantische EU-US-Datenübertragung per Privacy-Shield illegal

Zwischen der Europäischen Union und den USA gilt seit einigen Jahren ein Abkommen über den gegenseitigen Datenaustausch. Mit dem so genannten Datenschutz-Schild (Privacy-Shield) wird festgestellt, wie der Datenschutz untereinander geregelt wird. Die Europäische Kommission hatte hierfür gemäß EU-DSGVO einen sogenannten Angemessenheitsbeschluss gefasst und damit festgestellt, dass personenbezogene Daten in den USA einen mit dem Europäischen Datenschutzrecht vergleichbaren adäquaten Schutz genießen sofern sich die US-Seite dem Abkommen unterwirft. Auch für andere Länder wie die Schweiz oder Japan gibt es entsprechende Beschlüsse.

Der EUGH hatte jetzt zu entscheiden, ob die Datenschutzgarantien der USA im Rahmen des Abkommens den Ansprüchen der EU genügen. Denn der strenge Datenschutz der EU erlaubt die Übertragung von Daten in ein Nicht-EU-Land eben nur dann, wenn diese Daten dort entsprechend den europäischen Anforderungen geschützt sind. 

Dies sei in den USA nicht der Fall, so das aktuelle EUGH-Urteil. Der Grund: Die Überwachungsgesetze der Vereinigten Staaten seien zu weitreichend. Sie böten keinen ausreichenden Schutz für Daten aus der EU.

Der Hintergrund

Im aktuellen Fall hatte der österreichische Datenschutzaktivist Max Schrems beanstandet, dass Facebook in Europa seine Daten an den Mutterkonzern in den USA weiterleitet. Er begründete seine Beschwerde damit, dass Facebook in den Vereinigten Staaten dazu verpflichtet sei, Geheimdiensten wie NSA und FBI die Daten zugänglich zu machen. Betroffene könnten dagegen nicht vorgehen. Bereits 2015 hatte der EUGH aufgrund einer Beschwerde Schrems das Vorgängerabkommen Safe Harbor für ungültig erklärt.

Das Risiko

Die Verwendung des Privacy-Shields als Rechtsgrundlage ist nicht mehr möglich. Übertragen Unternehmen nun weiter unter Verwendung der Regeln des Datenschutz-Schildes Daten in die USA, könnte es Bußgelder gemäß EU-DSGVO geben.

Die Alternativen

Standarddatenschutzklauseln (ehemals: Standardvertragsklauseln) sind eine rechtliche Alternative für den Datenaustausch mit Organisationen außerhalb der EU. Pflichten und Haftung sind in diesem Vertragswerk eindeutig geklärt. EU-Unternehmen können mit diesem Verträge abschließen. Ob allerdings die US-Unternehmen zu diesen Zugeständnissen bereit sind, bleibt offen. Zudem müssen Unternehmen, die Daten exportieren, selbst dafür haften, dass das europäische Schutzniveau im Empfängerland eingehalten wird.

Eine weitere Möglichkeit, um weiterhin Daten in die USA zu exportieren, wäre die explizite Zustimmung der Betroffenen. Dabei müsste auf diesen Export hinzugewiesen, ja sogar davor gewarnt werden. Im Zusammenhang mit Online-Einwilligungen dürfte dies aber die Zustimmungsrate deutlich herabsetzen. Praktikabel ist dies daher auch nicht.

Die dritte Alternative wäre die Änderung der Überwachungsgesetze in den USA. Hiervon ist aber nicht auszugehen.

Die echte Alternative ist - sofern möglich - die Vermeidung von Anbietern mit Datenspeicherung in den USA. Einige US-Anbieter haben mitlerweile Rechenzentren in Europa und lassen die Daten durch europäiische Unternehmen betreuen und übermitteln keine Daten mehr in die USA. Dies ist dann natürlich datenschutzkonform.

Die Folgen

Der Datenaustausch zwischen EU und den USA ist rechtlich massiv beeinträchtigt. Kurzfristig werden viele Unternehmen, die bislang das Datenschutz-Schild als Rechtsgrundlage für eine Datenverarbeitung in den USA genommen werden, gegen geltendes Recht verstoßen. Dies gilt beispielsweise bei der Nutzung der beliebten Konferenz-Software Zoom, die den Dienst in Europa mit den Regeln des Datenschutz-Schildes anbietet.

Eine konsequentere Datenspeicherung in Europa ohne US-Zugriff auf die jeweiligen Systeme könnte eine der positiveren Folgen des Urteils sein.

Standarddatenschutzklauseln

Standarddatenschutzklauseln gemäß Art. 46 Abs. 5 Satz 2 der EU-DSGVO 

Alle News anzeigen

[

aipi e. K.
Claus Plachetka

]

Telefon (08000) 98391-0 kostenfrei
Grenzstraße 4, 26919 Brake
E-Mail info@aipi.de

Eintragen im Handelsregister des Amtsgerichts Oldenburg, HRA 204521 | EU-Umsatzsteuer- Identifikationsnummer: DE222490801 | aipi ist eine eingetragene EU-Marke, 015642523

Made in Germany Made in Germany | powered by

twitter    facebook    Instagram

XING    LinkedIn    WhatsApp

Mastodon https://aipi.social/@admin

aipi informiert: aipi.news

#datenschutz.bar  

[ DE ]    [ EN ]    [ RU ]   [ FRIESLAND ]    [ BAYERN ]

[ Datenschutz ]    [ Kontakt/Impressum ]

[ Darksite | Krisenkommunikation ]