EuGH entscheidet: Privacy Shield ist nicht rechtskonform
Der EuGH hat in seiner Entscheidung vom 16.07.2020 (Urt. v. 16.07.2020, Az. C-311/18, „Schrems II“) entschieden, dass die Selbst-Zertifizierung von US-Unternehmen unter das sog. „Privacy Shield“-Abkommen (Angemessenheitsbeschluss gem. Art. 45 DSGVO) keinen angemessenen Datenschutz für EU Bürger gewährleiste.
Damit ist es den deutschen Unternehmen ab sofort nicht mehr möglich durch eine Weitergabe von personenbezogenen Daten auf das „Privacy Shield“ zu stützen. Überall wo dies geschehen ist, müssen Anpassungen erfolgen.
Auswirkungen auf Standardvertragsklauseln
Vielleicht noch wichtiger sind die Aussagend des EuGH in Bezug auf die Standardvertragsklauseln. Diese fungieren als „Ausweg“ für die Datenübermittlung in Drittländer. So kann ein Vertrag zwischen dem EU- und US-Amerikanischen Unternehmen geeignete Garantien für EU Bürger entfalten, wenn dieser sog. „Standardvertragsklauseln“ gem. Art. 46 Abs. 2 lit. c DSGVO beinhaltet. Viele Unternehmen stützen ihre Verarbeitung in die USA bereist auf diese Klauseln. So hat Google am letzten Wochenende angekündigt zukünftig eine Übermittlung auf diese Standardvertragsklauseln (SVK) zu stützen.
Der EuGH sieht auch diese Klauseln im Fall eines Transfers in die USA nur dann als möglich wirksame Rechtsgrundlage an, wenn die dort genannten Garantien von den US-Unternehmen auch gegeben werden könnten. Diese Prüfung sei Sache der Datenschutzbehörden. Da EU-Bürger in den USA keine Möglichkeit haben sich gegen stattliche Eingriffe zu schützen, können solche Klauseln problematisch sein. Denn ein effektiver Rechtschutz für EU-Bürger kann durch eine solche vertragliche Vereinbarung überhaupt nicht garantiert werden.
Was bedeutet das für Unternehmen
- Mit den großen Unternehmen (Apple, Google, MS) sollten SVK abgeschlossen werden (zumindest hat der EuGH diese noch nicht für rechtsunwirksam erklärt). Für die großen Unternehmen ist dies meist schon geschehen.
- Die Weitergabe von Daten an US-Unternehmen, die sich auf das Privacy Shield beziehen, muss ebenfalls auf SVKs umgestellt werden. Das werden wir in den nächsten Monaten umsetzen müssen.
- Neue Verträge mit (kleineren) US-Unternehmen sollten entweder SVKs erhalten oder (besser noch) vermieden werden, wenn es EU-Unternehmen gibt, die die gleiche Leistung anbieten.
Mehr Informationen: EuGH hebt Privacy Shield auf. Und jetzt? (Legal Tribune Online)
Fitness-Studio Bußgeld durch Datenschutz-Behörde
Die größte norwegische Fitnessstudio Kette hat nach Erlass der Datenschutzbehörde ein Bußgeld von...
Datzenschutz-Schadensersatz bei „Datenscraping“ von Webseiten
Das Landgericht Gießen musste sich in seiner Entscheidung (LG Gießen, Urteil vom 3.11.2022 – 5 O...
Speicherungsdauer einer Restschuldbefreiung
mit der Frage, wie lange eine Restschuldbefreiung durch eine Wirtschaftsauskunftei gespeichert...