EuGH kippt transatlantisches Datenschutzabkommen

Es ist bereits der zweite Erfolg des österreichischen Datenschutzaktivisten und Juristen Max Schrems gegen Facebook, der Auswirkungen auf den transatlantischen Datentransfer und damit auch auf die Datenverarbeitung von Firmen wie Microsoft, Apple und anderen Telekommunikationsanbietern in den USA hat. Bereits Anfang Oktober 2015 hatte der europäische Gerichtshof (EuGH) auf seine Beschwerde h

EU-US Privacy Shield ungültig - Der EuGH kippt das transatlantisches Datenschutzabkommen

 

Es ist bereits der zweite Erfolg des österreichischen Datenschutzaktivisten und Juristen Max Schrems gegen Facebook, der Auswirkungen auf den transatlantischen Datentransfer und damit auch auf die Datenverarbeitung von Firmen wie Microsoft, Apple und anderen Telekommunikationsanbietern in den USA hat. Bereits Anfang Oktober 2015 hatte der europäische Gerichtshof (EuGH) auf seine Beschwerde hin in der Safe-Harbor- bzw. Schrems-I-Entscheidung (Rechtssache C-362/14) das gleichnamige transatlantische Datenschutzabkommen für ungültig erklärt. Nun ist auch der Nachfolger, der sogenannte EU-US Privacy Shield, mit dem sogenannten Schrems-II-Urteil des EuGH vom 16. Juli 2020 (Rechtssache C-311/18) Geschichte.

Der Privacy Shield bildete bislang als Angemessenheitsbeschluss der Europäischen Union im Sinne von Art. 45 DS-GVO sowie der korrespondierenden kirchlichen Regelungen in § 40 KDG/KDR-OG und § 10 DSG-EKD neben den sogenannten EU-Standarddatenschutzklauseln die Grundlage für einen legitimen Datentransfer zwischen der EU und den USA. Ein Angemessenheitsbeschluss dient dazu, in dem betreffenden Drittland ein angemessenes Datenschutzniveau festzustellen.

Aber gerade über die Feststellung des angemessenen Schutzniveaus in den USA wurde in Fachkreisen aufgrund der exzessiven Überwachungspraxis der US-Nachrichtendienste teils heftig gestritten. In den USA sind Unternehmen dazu verpflichtet, Behörden wie der NSA und dem FBI zur Strafverfolgung oder zur Prävention von Straftaten auf Anfrage Daten von Betroffenen zugänglich zu machen, ohne dabei die Interessen des Betroffenen zu berücksichtigen. Vor diesem Hintergrund hatte Herr Schrems gegenüber der irischen Datenschutzbehörde Beschwerde gegen Facebook und mithin dem Privacy Shield erhoben, weshalb schließlich ein irisches Gericht die Frage nach der Wirksamkeit des Privacy Shield und der sogenannten EU-Standarddatenschutzklauseln dem EuGH vorlegte. Die EU-Standarddatenschutzklauseln sind ein weiteres Instrument, um einen Datentransfer in ein Drittland vertraglich zu legitimieren.

Der EuGH entschied nun, dass der Privacy Shield u.a. aufgrund des weitreichenden Zugriffs der US-Nachrichtendienste kein angemessenes Datenschutzniveau bei der Verarbeitung biete und nicht mehr als Grundlage für den transatlantischen Datentransfer dienen könne. Die EU-Standarddatenschutzklauseln hingegen beanstandete der EuGH nicht. Diese können also nach wie vor als geeignete Garantien im Sinne von Art. 45 DS-GVO, § 40 KDG/KDR-OG und § 10 DSG-EKD für den transatlantischen Datentransfer genutzt werden.

Im Kern sollen diese Klauseln ähnlich wie ein Angemessenheitsbeschluss die Garantie dafür bieten, dass der Vertragspartner ein angemessenes Datenschutzniveau im Rahmen der Verarbeitung im Drittland gewährleistet. Problematisch ist jedoch, dass sich auch bei der Verwendung der EU-Standarddatenschutzklauseln der Verantwortliche versichern muss, dass in dem Drittland ein angemessenes Datenschutzniveau herrscht, woran im Falle der USA aufgrund des relativ unbegrenzten Zugriffs auf Daten und des geringen Rechtsschutzes für Betroffene insgesamt gezweifelt werden kann.

Infolge des Urteils hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit am selben Tag eine Stellungnahme des europäischen Datenschutzausschusses nach Veröffentlichung des gesamten Urteilstextes und in diesem Zusammenhang eine Überarbeitung der EU-Standarddatenschutzklausel durch die europäische Kommission angekündigt.

Die kirchlichen Datenschutzaufsichtsbehörden sind hingegen der Ansicht, dass ein Datentransfer in die USA selbst unter Verwendung der EU-Standarddatenschutzklauseln ein erhebliches Haftungsrisiko berge, da vertraglich keine wirksame Vereinbarung über einen effektiven Rechtsschutz getroffen werden könne. Entsprechende Datenverarbeitungen seien daher auszusetzen, bis ein dem weltlichen bzw. kirchlichen Datenschutzrecht vergleichbares Datenschutzniveau gewährleistet werden könne.

Der amerikanische Softwarehersteller Microsoft beteuerte hingegen in der Zwischenzeit, dass der datenschutzkonforme Datentransfer in die USA durch den Einsatz der EU-Standarddatenschutzklauseln (bzw. im Falle von Microsoft der Standard Contractual Clauses – SCC) nicht gefährdet sei.

Handlungsempfehlungen zum transatlantisches Datenschutzabkommen 

Nachdem der EU-US Privacy Shield vom EuGH für ungültig erklärt worden ist, ist auch die alternative Verwendung der EU-Standarddatenschutzklauseln für den transatlantischen Datentransfer fraglich geworden, da ein angemessenes Datenschutzniveau in den USA aufgrund der weitreichenden Überwachungspraxis der amerikanischen Behörden und des mangelnden Rechtsschutzes von Betroffenen derzeit (vertraglich) nicht gewährleistet werden kann. Die weltlichen und kirchlichen Datenschutzbehörden empfehlen, die Datenverarbeitung solange auszusetzen, wie ein der DS-GVO und dem KDG entsprechendes Datenschutzniveau nicht garantiert werden kann.

Seitens der Verantwortlichen sollte nun rasch geprüft werden, welche personenbezogenen Daten derzeit in den USA verarbeitet werden und ob diese Dienste auch in der EU erbracht werden können. Gerne unterstützen wir Sie im Rahmen dieser Feststellungen.

Weitere Artikel, die Sie interessieren könnten

26.05.2023

Neue Eckpunkte zur Krankenhausreform: Regionale Vielfalt und strukturelle Besonderheiten der Bundesländer müssen berücksichtigt werden!

Am 23. Mai 2023 traf sich Gesundheitsminister Karl Lauterbach mit den Ländervertretern zu einem vertraulichen „Kamingespräch“, um auf Grundlage eines im Vorfeld vom Bundesgesundheitsministeriums (BMG) vorgelegten, 11 Seiten langen Eckpunktepapiers über die strittigen Reformthemen zu beraten.(...)
25.05.2023

Fünf Jahre DSGVO – Datenschutz im Wandel

Am 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung (DS-GVO) in Kraft getreten. Ziel war es, in der Europäischen Union die Vorschriften zur Verarbeitung personenbezogener Daten zu vereinheitlichen. Die DS-GVO gilt unmittelbar für alle EU-Mitgliedstaaten. Mit der Vereinheitlichung des(...)
16.05.2023

Nachhaltigkeitsbericht betrifft auch die Governance

Am 5. Januar 2023 ist die Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive – CSRD) in Kraft getreten. Zudem wurden bereits am 23. November 2022 die Entwürfe der europäischen Berichtsstandards (European Sustainability Reporting Standards – ESRS)(...)
16.05.2023

Transparenzregister: Permanente Aktualisierungspflicht

Meldepflichtige Vereinigungen müssen ihre wirtschaftlich Berechtigten ermitteln, an das Transparenzregister melden und ihre Meldungen auf dem jeweils aktuellen Stand halten. Dass meldepflichtige Veränderungen als solche wahrgenommen und gemeldet werden, ist mittels interner Prozesse(...)
16.05.2023

Geldwäsche-Compliance: Sorgfaltspflichten

Das Geldwäschegesetz (GwG) beinhaltet Transparenz- und Sorgfaltspflichten. Über die Transparenzpflichten, insbesondere die Pflicht zur Ermittlung und Meldung der wirtschaftlich Berechtigten an das Transparenzregister, haben wir wiederholt berichtet (siehe Solidaris Information 2/2022, Newsletter der(...)
16.05.2023

Rechnungslegungsvorschriften nach WVO auch für „andere Leistungsanbieter“

Seit Umsetzung des Bundesteilhabegesetzes (BTHG) im Jahr 2018 können Menschen mit Behinderungen, die Anspruch auf Leistungen im Eingangsverfahren und Berufsbildungs- bzw. Arbeitsbereich nach den §§ 57 und 58 SGB IX haben, diese auch bei einem sogenannten „anderen Leistungsanbieter“ in Anspruch(...)
Zu allen aktuellen Meldungen
phone
mail Pfeil weiß