Update Datenschutz: US Privacy Shield

Datenschutz: US Privacy Shield

Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) eine der wichtigsten Entscheidungen in Sachen Datenschutz getroffen: Im Zuge der Überprüfung des 2016 in Kraft getretenen „Privacy Shields“ hat der EuGH festgestellt, dass amerikanische Geheimdienste rechtliche Befugnisse haben, auf personenbezogene Daten zuzugreifen, ohne dass es wirksame Schutzmechanismen gebe. Die Datenschutz-Grundverordnung (DSGVO) finde aber auch in solchen Fällen Anwendung, denn die Ausnahmen des Art. 2 Abs. 2 Buchst. d) DSGVO (Nichtanwendbarkeit der DSGVO bei Datenverarbeitung durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit) umfasse lediglich europäische Behörden. Deswegen hat der EuGH das „Privacy Shield“ ab sofort für ungültig erklärt: seit dem 16. Juli 2020 dürfen demnach keine personenbezogenen Daten der in der EU ansässigen Personen aufgrund des „Privacy Shields“ in die USA übermittelt werden.

Eigentlich ging es in der Sache um die Klage einer natürlichen Person gegen Facebook Ireland wegen des Datentransfers an den Mutterkonzern in die USA. Dennoch ist die Entscheidung des EuGH für alle Unternehmen und öffentliche Stellen bindend, die personenbezogene Daten in die USA transferieren.

Was bedeutet das im Einzelnen?

1. Privacy Shield stellt KEINE wirksame Rechtsgrundlage für den Transfer personenbezogener Daten in die USA dar. Werden die Daten trotzdem übermittelt, liegt eine Ordnungswidrigkeit vor, es können Bußgelder verhängt und Schadensersatzforderungen erhoben werden.
2. Jedes Unternehmen, welches personenbezogene Daten in die USA übermittelt (oder auch eine solche Übermittlung nicht ausschließt!), muss zusätzliche Garantien gegen den Zugriff amerikanischer Geheimdienste vorsehen, wie bspw. Verschlüsselung oder Anonymisierung.
3. Die Pflicht, die aktuelle ausländische Rechtslage zu überprüfen und Schutzvorkehrungen zu treffen, besteht auch bei Übermittlung von Daten in andere Länder. Hier gilt, dass für jedes Land, in welches personenbezogene Daten übermittelt werden, eine entsprechende Analyse insb. von Zugriffsmöglichkeiten der Geheimdienste sowie von möglichen Schutzmechanismen vorzunehmen ist

Was ist zu tun?

1. Zunächst sollte jedes Unternehmen eine Ist-Zustand-Analyse durchführen und bei sich selbst nachschauen, welche Daten weswegen wohin transferiert werden.
2. Danach ist zu überlegen, ob der Verzicht auf die Dienste des Vertragspartners, der personenbezogene Daten in den USA verarbeitet bzw. bei dem der Transfer in die USA notwendig ist, möglich ist. So weist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit des Landes Baden-Württemberg Dr. Brink in seiner Stellungnahme unmittelbar darauf hin, dass bei der Kontrolle des Transfers von Daten „zumutbare Alternativangebote ohne Transferproblematik“ eine zentrale Rolle einnehmen werden (Brink/Mitsdörffer, Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?, 2. Auflage, Stuttgart 2020, S. 14, hier abrufbar).
3. Sollte der Wechsel nicht möglich sein, ist der Vertragspartner darauf anzusprechen. Dabei sind einzelne Maßnahmen zu bedenken und einzuführen, die den DSGVO-konformen Datenschutz sicherstellen können.
4. Dann sollte die Datenschutzerklärung angepasst werden, insb. die Stellen, die auf das Privacy Shield verweisen.
5. Zu guter Letzt solle das Verzeichnis der Verarbeitungstätigkeiten überprüft und ggf. angepasst werden.

Darüber hinaus soll jeder Auftragsverarbeiter angewiesen werden, keine Daten in die USA zu transferieren. Im Einzelfall darf der Transfer weiterhin stattfinden, falls ausreichende Garantien (überprüfen!) vorhanden sind.

Nach wie vor gilt das Rechenschaftsprinzip der DSGVO: jede Maßnahme zum Schutz personenbezogener Daten soll nachgewiesen werden können, insofern sollten auch die Anpassungen in Bezug auf den Datentransfer gut dokumentiert werden.

Die Entscheidung des EuGH gibt vielen Unternehmen einen Anstoß, um ihre Prozesse nochmals zu überdenken und den Datentransfer in Länder, die keinen angemessenen Schutz personenbezogener Daten gewährleisten, auszusetzen. Jedes Unternehmen sollte sich spätestens jetzt über die datenschutzrechtliche Lage im „transferrelevanten“ Drittland informieren sowie interne Datenschutzvorschriften anpassen, um ggf. zusätzliche Datenschutzvorkehrungen einzuführen und so das DSGVO-konforme Datenschutzniveau zu gewähren.

Sollten Sie weitere Fragen zum Datenschutz haben, wenden Sie sich bitte an unsere Experten.

Text: Olga Kunkel

Den Text können Sie hier herunterladen.