EuGH entscheidet: Privacy Shield ist nicht rechtskonform
Der EuGH hat in seiner Entscheidung vom 16.07.2020 (Urt. v. 16.07.2020, Az. C-311/18, „Schrems II“) entschieden, dass die Selbst-Zertifizierung von US-Unternehmen unter das sog. „Privacy Shield“-Abkommen (Angemessenheitsbeschluss gem. Art. 45 DSGVO) keinen angemessenen Datenschutz für EU Bürger gewährleiste.
Damit ist es den deutschen Unternehmen ab sofort nicht mehr möglich durch eine Weitergabe von personenbezogenen Daten auf das „Privacy Shield“ zu stützen. Überall wo dies geschehen ist, müssen Anpassungen erfolgen.
Auswirkungen auf Standardvertragsklauseln
Vielleicht noch wichtiger sind die Aussagend des EuGH in Bezug auf die Standardvertragsklauseln. Diese fungieren als „Ausweg“ für die Datenübermittlung in Drittländer. So kann ein Vertrag zwischen dem EU- und US-Amerikanischen Unternehmen geeignete Garantien für EU Bürger entfalten, wenn dieser sog. „Standardvertragsklauseln“ gem. Art. 46 Abs. 2 lit. c DSGVO beinhaltet. Viele Unternehmen stützen ihre Verarbeitung in die USA bereist auf diese Klauseln. So hat Google am letzten Wochenende angekündigt zukünftig eine Übermittlung auf diese Standardvertragsklauseln (SVK) zu stützen.
Der EuGH sieht auch diese Klauseln im Fall eines Transfers in die USA nur dann als möglich wirksame Rechtsgrundlage an, wenn die dort genannten Garantien von den US-Unternehmen auch gegeben werden könnten. Diese Prüfung sei Sache der Datenschutzbehörden. Da EU-Bürger in den USA keine Möglichkeit haben sich gegen stattliche Eingriffe zu schützen, können solche Klauseln problematisch sein. Denn ein effektiver Rechtschutz für EU-Bürger kann durch eine solche vertragliche Vereinbarung überhaupt nicht garantiert werden.
Was bedeutet das für Unternehmen
- Mit den großen Unternehmen (Apple, Google, MS) sollten SVK abgeschlossen werden (zumindest hat der EuGH diese noch nicht für rechtsunwirksam erklärt). Für die großen Unternehmen ist dies meist schon geschehen.
- Die Weitergabe von Daten an US-Unternehmen, die sich auf das Privacy Shield beziehen, muss ebenfalls auf SVKs umgestellt werden. Das werden wir in den nächsten Monaten umsetzen müssen.
- Neue Verträge mit (kleineren) US-Unternehmen sollten entweder SVKs erhalten oder (besser noch) vermieden werden, wenn es EU-Unternehmen gibt, die die gleiche Leistung anbieten.
Mehr Informationen: EuGH hebt Privacy Shield auf. Und jetzt? (Legal Tribune Online)
Daten in die USA nun nach Transatlantic Data Privacy Framework (TADPF) möglich
Seit 2020 müssen sich alle Unternehmen, die Daten in die Vereinigten Staaten übermitteln...
10.000 EUR Schadensersatz für Arbeitnehmer bei Auskunftsanspruch im Datenschutz
Das Arbeitsgericht Oldenburg hat in seiner Entscheidung vom 9. Februar (ArbG Oldenburg, Urt. v....
EuGH Einbeziehung von AGB im B2B Bereich durch Link auf Webpage
Einem Thema, welches zunächst einmal nichts mit den Datenschutz zu tun haben scheint, hat sich der...