EuGH kippt das US-Privacy-Shield: Was tun?

Vier Jahre nach «Safe Harbour» hat der EUGH das US-Privacy-Shield gekippt!

Das war rechtlich vorhersehbar, die Meldung hat aber dennoch wie eine Rakete mitten im noch frischen Sommer eingeschlagen. Das IAPP, die International Association of Privacy Professionals, hat gleich drei Online-Sessions dazu anberaumt, alle gut besucht.

Sie lesen hier:

Welche Auswirkungen hat die Aufhebung des US-Privacy-Shields? Was muss ich tun?

Kurz vorweg: Wenn Sie personenbezogene Daten ausschliesslich in der EU und der Schweiz speichern, betrifft Sie das EuGH-Urteil überhaupt nicht. Sie können dann gerne entspannt weiterlesen.

Rückblick

Max Schrems hat 2013 eine Klage gegen die Weiterleitung seiner Daten von Facebook Irland an Facebook USA eingereicht. Das Verfahren läuft immer noch:

Jahr Geschehen
2013 Klage von Max Schrems auf Nichtweiterleitung von personenbezogenen Daten von Facebook Irland an Facebook USA
2014 Sammelklage gegen Facebook in Österreich
2015 Safe Harbour wurde vom EuGH als rechtswidrig abgelehnt
2016 EU vereinbart mit den USA das US-Privacyshield als Ersatz
2018 Sammelklage in Östereich vom OGH abgelehnt: 25.000 Kläger!
16.07.2020 US-Privacy-Shield wurde vom EuGH als rechtswidrig aufgehoben

Sowohl der Safe Harbour als auch die Nachfolgeregelung US-Privacy-Shields wurden am 16.07.2020 vom EuGH als rechtswidrig aufgehoben.

Zweck des US-Privacy-Shields

Datenschutz greift nicht nur, wenn Sie personenbezogene Daten erfassen und verarbeiten:

Datenschutz gilt auch dann, wenn Sie personenbezogene Daten weitergeben.

Wenn Sie nach der DSGVO personenbezogene Daten ausser Haus geben und von einem anderen verarbeiten lassen wollen, benötigen Sie deshalb einen Datenverarbeitungsauftrag (auch: Auftragsverarbeitungsvertrag – AVV, Englisch: Data Processing Agreement – DPA; vgl. Art 28 GDPR).

Wenn Sie Daten in ein anderes Land ausserhalb der EU weiterleiten, muss sichergestellt sein, dass es dafür einen qualifzierten Rechtsgrund gibt und dass das Zielland auch ein entsprechendes Datenschutzniveau hat.

EU US-Privacy-Shield

Das US-Privacy-Shield und sein Vorläufer, der Safe-Harbour, sahen vor, dass US-Firmen, die bestimmten Anforderungen genügen, sich in eine Liste eintragen lassen können.

Mit diesen Unternehmen konnten europäische und – für das US-Swiss-Privacy-Shield – Schweizer Firmen nach den europäischen Datenschutz-Anforderungen rechtskonform Daten austauschen.

Das US-Privacy-Shield ist per 16.07.2020 vom EuGH aufgehoben werden.

Wenn Sie bisher auf das US-Privacy-Shield angewiesen waren, besteht rechtlicher Handlungsbedarf.

Das EU-Privacy-Shield ist somit Geschichte: Sie müssen auf die sogenannten Standardvertragsklauseln ausweichen, um einen rechtskonformen Austausch mit den USA sicherzustellen.

Sie müssen rechtlich auf Standardvertragsklauseln umsatteln, wenn Sie bisher mit einem Unternehmen personenbezogene Daten ausgetauscht haben, das das US-Privacy-Shield nutzte.

Swiss US-Privacy-Shield

Originellerweise gilt per 16.07.2020 das Schweizer Privacy-Shield noch weiter. Das ist zwar eine rechtliche und eher nicht nachhaltige Paradoxie, dennoch gilt:

Sie können derzeit und bis auf weiteres Daten über die Schweiz rechtmässig von der EU in die USA schicken!

Standardvertragsklauseln (Standard Contractual Clausels – SCC)

Die EU sieht dafür sogenannte Standardvertragsklauseln vor, dabei wird zwischen für die Datenverarbeitung Verantwortlichen und Beauftragten unterschieden.

  • Sie können diese standardisierten Verträge nutzen.
  • Die Datenschutzbehörden wissen damit, worum es geht, ihnen bleibt die Kontrolle und Nachprüfung darüber vorbehalten.
  • Und den betroffenen Personen soll die rechtliche Nachprüfbarkeit bei Problemen ermöglicht werden.

Diese Standardvertragsklauseln müssen Sie anlassbezogen ausfüllen und aktivieren. Das ist natürlich viel mühsamer als die Nutzung des US-Privacy-Shields, bei dem mit gelisteten Unternehmen automatisch Daten ausgetauscht rechtskonform werden konnten.

Da die rechtliche Fragwürdigkeit des US-Privacy-Shields schon lange klar war, ist es tragisch, welche rechtliche Unsicherheit die EU-Kommission hier zu Lasten einzelner Wirtschaftstreibender hat aufkommen lassen. Man kann durchaus von einem Versagen europäischer Digitalpolitik sprechen.

Daneben gilt weiter Art 49 DSGVO, der bestimmte Ausnahmen für die Datenweitergabe an Drittstaaaten vorsieht.

Was können oder müssen Sie tun?

Es liegt hier ein grundsätzliches politisches Versäumnis vor, das hoffentlich rasch korrigiert werden wird.

  1. Wenn Sie in der Schweiz positioniert sind und bisher mit Unternehmen auf Basis des Swiss US-Privacy-Shields personenbezogene Daten ausgetauscht haben, liegt kein Handlungsbedarf vor. Sie sollten die Situation aufmerksam beobachten.
  2. Wenn Sie hingegen mit Unternehmen auf Basis des EU US-Privacy-Shields personenbezogene Daten ausgetauscht haben, haben Sie durch die EuGH-Entscheidung rechtliche Schulden und sollten die Umstellung auf Standardvertragsklauseln aktiv in Angriff nehmen.
  3. Wenn Sie personenbezogene Daten ohnehin nur mit Unternehmen in der EU austauschen und durch diese verarbeiten lassen, gelten die allgemeinen Regeln der DSGVO und genügt nach wie vor ein Auftragsverarbeitungsvertrag nach Art 28 DSGVO.

Da die Politik hier schon mehrfach versagt hat, wird es also mit hoher Sicherheit einige Zeit dauern, bis eine tragfähigere Lösung vorliegt.

Sie sind also gut beraten, wenn Sie gegebenenfalls rasch mit der Umstellung auf Standardvertragsklauseln starten.


Für weitere Unterstützung erreichen Sie mich unter pe@peterebenhoch.com!