EuGH entscheidet: Privacy Shield ist nicht rechtskonform
Der EuGH hat in seiner Entscheidung vom 16.07.2020 (Urt. v. 16.07.2020, Az. C-311/18, „Schrems II“) entschieden, dass die Selbst-Zertifizierung von US-Unternehmen unter das sog. „Privacy Shield“-Abkommen (Angemessenheitsbeschluss gem. Art. 45 DSGVO) keinen angemessenen Datenschutz für EU Bürger gewährleiste.
Damit ist es den deutschen Unternehmen ab sofort nicht mehr möglich durch eine Weitergabe von personenbezogenen Daten auf das „Privacy Shield“ zu stützen. Überall wo dies geschehen ist, müssen Anpassungen erfolgen.
Auswirkungen auf Standardvertragsklauseln
Vielleicht noch wichtiger sind die Aussagend des EuGH in Bezug auf die Standardvertragsklauseln. Diese fungieren als „Ausweg“ für die Datenübermittlung in Drittländer. So kann ein Vertrag zwischen dem EU- und US-Amerikanischen Unternehmen geeignete Garantien für EU Bürger entfalten, wenn dieser sog. „Standardvertragsklauseln“ gem. Art. 46 Abs. 2 lit. c DSGVO beinhaltet. Viele Unternehmen stützen ihre Verarbeitung in die USA bereist auf diese Klauseln. So hat Google am letzten Wochenende angekündigt zukünftig eine Übermittlung auf diese Standardvertragsklauseln (SVK) zu stützen.
Der EuGH sieht auch diese Klauseln im Fall eines Transfers in die USA nur dann als möglich wirksame Rechtsgrundlage an, wenn die dort genannten Garantien von den US-Unternehmen auch gegeben werden könnten. Diese Prüfung sei Sache der Datenschutzbehörden. Da EU-Bürger in den USA keine Möglichkeit haben sich gegen stattliche Eingriffe zu schützen, können solche Klauseln problematisch sein. Denn ein effektiver Rechtschutz für EU-Bürger kann durch eine solche vertragliche Vereinbarung überhaupt nicht garantiert werden.
Was bedeutet das für Unternehmen
- Mit den großen Unternehmen (Apple, Google, MS) sollten SVK abgeschlossen werden (zumindest hat der EuGH diese noch nicht für rechtsunwirksam erklärt). Für die großen Unternehmen ist dies meist schon geschehen.
- Die Weitergabe von Daten an US-Unternehmen, die sich auf das Privacy Shield beziehen, muss ebenfalls auf SVKs umgestellt werden. Das werden wir in den nächsten Monaten umsetzen müssen.
- Neue Verträge mit (kleineren) US-Unternehmen sollten entweder SVKs erhalten oder (besser noch) vermieden werden, wenn es EU-Unternehmen gibt, die die gleiche Leistung anbieten.
Mehr Informationen: EuGH hebt Privacy Shield auf. Und jetzt? (Legal Tribune Online)
Arbeitnehmer-Datenschutz im BEM Verfahren
Datenschutz im Prozess: Eine Urteilsbesprechung zu VG Wiesbaden, Urteil vom 19.01.2022 – 6 K 361/21.WI
Datenschutz in Vereinen
Das LG Frankfurt/M. entschied in seinem Urteil vom 01.11.2021 erstmals wegweisende Fragen über...
Das Aus für Googles Schriftarten?
Was Urteil des LG München zu Google Fonts genau für Websitenbetreiber bedeutet und was künftig zu beachten ist.