open search
close
Datenschutz Neueste Beiträge

Ende für Privacy Shield: Karten für transatlantische Datenübermittlung neu gemischt

Print Friendly, PDF & Email

Nachdem der EuGH das Safe Harbour-Abkommen im Jahr 2015 für unwirksam erklärt hatte, schlossen die USA und die EU kurz darauf das sog. Privacy Shield-Abkommen, wonach die Übertragung von personenbezogenen Daten von der EU in die USA nunmehr rechtssicher geregelt werden sollte. Das Abkommen wurde von einigen Datenschutzexperten von Beginn an kritisiert, da es – in gleichem Maße wie das Safe Harbour-Abkommen – keine sichere Grundlage für eine transatlantische Datenübermittlung bieten würde. Der EuGH sieht das offenbar genauso.

Worum geht es in der Entscheidung?

Das aktuelle Urteil des EuGH (hier geht’s zur Pressemitteilung) geht – wie bereits die Entscheidung über das Safe Harbour-Abkommen – zurück auf eine Beschwerde des österreichischen Juristen und Netzaktivisten Max Schrems. Dieser sieht in der Übertragung seiner Facebook-Daten von Irland in die USA einen Verstoß gegen europäisches Datenschutzrecht, da Facebook in den USA nicht dasselbe Schutzniveau für seine Nutzerdaten gewährleisten könne wie in der EU. Dies liege insbesondere an den weitreichenden Eingriffsrechten, die US-Behörden (z.B. FBI und NSA) gegenüber Unternehmen mit Blick auf persönliche Daten von Nutzern bzw. Kunden durchsetzen können. Das Gericht hat in diesem Zusammenhang das Privacy Shield-Abkommen zwischen der EU und den USA für unwirksam erklärt. Eine Datenübermittlung auf Basis sogenannter Standardvertragsklauseln hat es dagegen dem Grunde nach für wirksam erachtet.

Datenübermittlung EU/USA: Privacy Shield versus Standardvertragsklauseln

Bei der Datenübermittlung zwischen der EU und den USA gibt es unterschiedliche Wege, um den Erfordernissen der strengen Datenschutzvorschriften der EU zu genügen. Zum einen ist es möglich, sogenannte Standardvertragsklauseln zu vereinbaren, die von der europäischen Kommission mit Beschluss 2010/87 zur Verfügung gestellt wurden. Diese Klauseln regeln die Rechte und Pflichten des Datenexporteurs in der EU sowie des Datenimporteurs in den USA und beinhalten durchsetzbare Rechte und wirksame Rechtsbehelfe zugunsten der betroffenen Person. Demgegenüber konnten sich bis zuletzt Unternehmen zur wirksamen Datenübertragung auch dem Privacy Shield unterwerfen: Im Wege einer Selbstzertifizierung verpflichten sich hierbei Unternehmen zur Einhaltung der Regelungen des Privacy Shield-Abkommens, welche die rechtskonforme Übermittlung von personenbezogenen Daten aus der EU in die USA betreffen. Der EuGH kam nun aber zu dem Ergebnis, dass das Privacy Shield-Abkommen den Anforderungen der DSGVO nicht genügt. Nach Ansicht der Richter räumt das Abkommen den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang ein, sodass beispielsweise US-Behörden auf personenbezogene Daten zugreifen und diese verwenden können. Mit Blick auf das vom Unionsrecht verlangte vergleichbare Schutzniveau des Drittstaates, in welchen die personenbezogenen Daten übermittelt werden, hat der Gerichtshof dem Abkommen daher eine Absage erteilt.

Bleibt Weg über Standardvertragsklauseln möglich?

Im gleichen Atemzug haben die Richter die Möglichkeit der Nutzung von Standardvertragsklauseln zur rechtmäßigen Übermittlung von personenbezogenen Daten in die USA weiterhin für möglich erachtet. Allerdings macht der Gerichtshof hierbei eine wesentliche Einschränkung: In der Praxis muss gewährleistet sein, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und die Übermittlung auf Grundlage der Standardvertragsklauseln ausgesetzt oder verboten wird, sofern gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Aus der Pressemitteilung geht hervor, dass die Richter diese Einschränkung bei der Verwendung von Standardvertragsklauseln allgemein (und nicht konkret für die transatlantische Datenübermittlung) heranziehen. Wenn die grundsätzlich datenschutzkonformen Standardvertragsklauseln nun die Übertragung von Daten in die USA regeln, stellt sich aber unweigerlich die Frage, wie der Datentransfer als rechtskonform eingestuft werden kann. Denn der EuGH ist in der vorliegenden Entscheidung schließlich zu dem Ergebnis gekommen ist, dass das US-Rechtssystem Zugriffsmöglichkeiten von US-Behörden auf personenbezogene Daten vorsieht, wodurch in den USA kein vergleichbares Schutzniveau wie in der EU gewährleistet ist.

Bedeutung für die Praxis und Aussicht

Unternehmen, die Daten zwischen der EU und den USA austauschen, können sich nach der vorliegenden Entscheidung des EuGH eindeutig nicht mehr auf das Privacy Shield-Abkommen berufen. Verstößt der transatlantische Datentransfer aber auch bei Verwendung von Standardvertragsklauseln gegen EU-Recht? Hier ist die Entscheidung weniger eindeutig. Dem Grunde nach seien die Klauseln weiterhin ein Weg zur rechtkonformen Übertragung von Daten in Drittstaaten. Ungeklärt ist jedoch, ob die Datenübertragung über Standardvertragsklauseln auch in die USA möglich bleiben soll. Es bleibt abzuwarten, inwieweit Datenschutzbehörden die konkrete Verwendung von Standardvertragsklauseln mit US-Unternehmen (insbesondere mit Blick auf das vergleichbare Schutzniveau) bewerten und in Zukunft den Datentransfer in die USA stärker beaufsichtigen. Unter Berücksichtigung der weitreichenden Eingriffsmöglichkeiten von US-Behörden in personenbezogene Daten von Unternehmen stellt sich darüber hinaus die Frage, ob der EuGH Standardvertragsklauseln bei Übertragung von Daten in die USA auch in zukünftigen Entscheidungen für wirksam erachtet.

Alexander Steven

Rechtsanwalt

Associate
Alexander Steven unterstützt vor allem bei Kündigungsschutzverfahren, in der Gestaltung von Anstellungs-, Aufhebungs- und Abwicklungsverträgen sowie in der Beratung zu betriebsverfassungsrechtlichen Fragen.
Verwandte Beiträge
Compliance Neueste Beiträge Whistleblowing & Investigations

Internal Investigations: Kostenersatz bei Compliance-Untersuchungen

Sofern gegen einen Arbeitnehmer der Verdacht besteht, gegen Compliance-Vorschriften verstoßen oder eine erhebliche Verfehlung begangen zu haben, sind vom Arbeitgeber entsprechende unternehmensinterne Untersuchungen einzuleiten. Diese sog. Internal Investigations gewinnen in der Praxis immer größere Bedeutung, sie haben jedoch auch ihren Preis. Da viele Unternehmen keine Erfahrungen mit solchen Situationen haben, werden häufig externe Spezialisten, wie etwa Detektive oder spezialisierte Anwaltskanzleien hinzugezogen, um die Verdachtsmomente umfassend…
Datenschutz Neueste Beiträge

Kann der Auskunftsanspruch nach Art. 15 DS-GVO rechtsmissbräuchlich sein? Ja, sagt das LAG Sachsen!

Das LAG Sachsen hat entschieden, dass ein Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO ausscheidet, wenn das Auskunftsbegehren rechtsmissbräuchlich ist. Anlass der Entscheidung war, dass ein Arbeitnehmer während eines laufenden Rechtsstreits gegen den Arbeitgeber Auskunftsansprüche geltend machte. Diese Informationen wollte der Arbeitnehmer gegen den Arbeitgeber verwenden, um seine behaupteten Überstunden beweisen zu können. Das LAG urteilte, dass dieser Zweck nicht von der DS-GVO gedeckt und…
Datenschutz ESG Neueste Beiträge Video

Beschäftigtendaten – darf man sie zum Beispiel für ESG-Befragungen einfach nutzen? (Video)

Im Laufe eines Arbeitslebens sammeln Arbeitgeber von ihren Mitarbeitenden viele Daten, beginnend bei der Bewerbung über die Einstellung und auch während des Beschäftigungsverhältnisses. Teilweise werden diese Informationen auch durch Umfragen aktiv gesammelt – derzeit sehr aktuell etwa beim Thema ESG. Dabei stellt sich die Frage, ob diese einmalig für einen bestimmten Zweck gesammelten Daten auch für andere Zwecke als den ursprünglichen genutzt werden können, etwa…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert