EuGH kippt transatlantisches Datenschutzabkommen

Es ist bereits der zweite Erfolg des österreichischen Datenschutzaktivisten und Juristen Max Schrems gegen Facebook, der Auswirkungen auf den transatlantischen Datentransfer und damit auch auf die Datenverarbeitung von Firmen wie Microsoft, Apple und anderen Telekommunikationsanbietern in den USA hat. Bereits Anfang Oktober 2015 hatte der europäische Gerichtshof (EuGH) auf seine Beschwerde h

EU-US Privacy Shield ungültig - Der EuGH kippt das transatlantisches Datenschutzabkommen

 

Es ist bereits der zweite Erfolg des österreichischen Datenschutzaktivisten und Juristen Max Schrems gegen Facebook, der Auswirkungen auf den transatlantischen Datentransfer und damit auch auf die Datenverarbeitung von Firmen wie Microsoft, Apple und anderen Telekommunikationsanbietern in den USA hat. Bereits Anfang Oktober 2015 hatte der europäische Gerichtshof (EuGH) auf seine Beschwerde hin in der Safe-Harbor- bzw. Schrems-I-Entscheidung (Rechtssache C-362/14) das gleichnamige transatlantische Datenschutzabkommen für ungültig erklärt. Nun ist auch der Nachfolger, der sogenannte EU-US Privacy Shield, mit dem sogenannten Schrems-II-Urteil des EuGH vom 16. Juli 2020 (Rechtssache C-311/18) Geschichte.

Der Privacy Shield bildete bislang als Angemessenheitsbeschluss der Europäischen Union im Sinne von Art. 45 DS-GVO sowie der korrespondierenden kirchlichen Regelungen in § 40 KDG/KDR-OG und § 10 DSG-EKD neben den sogenannten EU-Standarddatenschutzklauseln die Grundlage für einen legitimen Datentransfer zwischen der EU und den USA. Ein Angemessenheitsbeschluss dient dazu, in dem betreffenden Drittland ein angemessenes Datenschutzniveau festzustellen.

Aber gerade über die Feststellung des angemessenen Schutzniveaus in den USA wurde in Fachkreisen aufgrund der exzessiven Überwachungspraxis der US-Nachrichtendienste teils heftig gestritten. In den USA sind Unternehmen dazu verpflichtet, Behörden wie der NSA und dem FBI zur Strafverfolgung oder zur Prävention von Straftaten auf Anfrage Daten von Betroffenen zugänglich zu machen, ohne dabei die Interessen des Betroffenen zu berücksichtigen. Vor diesem Hintergrund hatte Herr Schrems gegenüber der irischen Datenschutzbehörde Beschwerde gegen Facebook und mithin dem Privacy Shield erhoben, weshalb schließlich ein irisches Gericht die Frage nach der Wirksamkeit des Privacy Shield und der sogenannten EU-Standarddatenschutzklauseln dem EuGH vorlegte. Die EU-Standarddatenschutzklauseln sind ein weiteres Instrument, um einen Datentransfer in ein Drittland vertraglich zu legitimieren.

Der EuGH entschied nun, dass der Privacy Shield u.a. aufgrund des weitreichenden Zugriffs der US-Nachrichtendienste kein angemessenes Datenschutzniveau bei der Verarbeitung biete und nicht mehr als Grundlage für den transatlantischen Datentransfer dienen könne. Die EU-Standarddatenschutzklauseln hingegen beanstandete der EuGH nicht. Diese können also nach wie vor als geeignete Garantien im Sinne von Art. 45 DS-GVO, § 40 KDG/KDR-OG und § 10 DSG-EKD für den transatlantischen Datentransfer genutzt werden.

Im Kern sollen diese Klauseln ähnlich wie ein Angemessenheitsbeschluss die Garantie dafür bieten, dass der Vertragspartner ein angemessenes Datenschutzniveau im Rahmen der Verarbeitung im Drittland gewährleistet. Problematisch ist jedoch, dass sich auch bei der Verwendung der EU-Standarddatenschutzklauseln der Verantwortliche versichern muss, dass in dem Drittland ein angemessenes Datenschutzniveau herrscht, woran im Falle der USA aufgrund des relativ unbegrenzten Zugriffs auf Daten und des geringen Rechtsschutzes für Betroffene insgesamt gezweifelt werden kann.

Infolge des Urteils hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit am selben Tag eine Stellungnahme des europäischen Datenschutzausschusses nach Veröffentlichung des gesamten Urteilstextes und in diesem Zusammenhang eine Überarbeitung der EU-Standarddatenschutzklausel durch die europäische Kommission angekündigt.

Die kirchlichen Datenschutzaufsichtsbehörden sind hingegen der Ansicht, dass ein Datentransfer in die USA selbst unter Verwendung der EU-Standarddatenschutzklauseln ein erhebliches Haftungsrisiko berge, da vertraglich keine wirksame Vereinbarung über einen effektiven Rechtsschutz getroffen werden könne. Entsprechende Datenverarbeitungen seien daher auszusetzen, bis ein dem weltlichen bzw. kirchlichen Datenschutzrecht vergleichbares Datenschutzniveau gewährleistet werden könne.

Der amerikanische Softwarehersteller Microsoft beteuerte hingegen in der Zwischenzeit, dass der datenschutzkonforme Datentransfer in die USA durch den Einsatz der EU-Standarddatenschutzklauseln (bzw. im Falle von Microsoft der Standard Contractual Clauses – SCC) nicht gefährdet sei.

Handlungsempfehlungen zum transatlantisches Datenschutzabkommen 

Nachdem der EU-US Privacy Shield vom EuGH für ungültig erklärt worden ist, ist auch die alternative Verwendung der EU-Standarddatenschutzklauseln für den transatlantischen Datentransfer fraglich geworden, da ein angemessenes Datenschutzniveau in den USA aufgrund der weitreichenden Überwachungspraxis der amerikanischen Behörden und des mangelnden Rechtsschutzes von Betroffenen derzeit (vertraglich) nicht gewährleistet werden kann. Die weltlichen und kirchlichen Datenschutzbehörden empfehlen, die Datenverarbeitung solange auszusetzen, wie ein der DS-GVO und dem KDG entsprechendes Datenschutzniveau nicht garantiert werden kann.

Seitens der Verantwortlichen sollte nun rasch geprüft werden, welche personenbezogenen Daten derzeit in den USA verarbeitet werden und ob diese Dienste auch in der EU erbracht werden können. Gerne unterstützen wir Sie im Rahmen dieser Feststellungen.

Weitere Artikel, die Sie interessieren könnten

06.06.2023

Separater Internetzugang für Betriebsratsmitglieder nicht erforderlich

Laut dem Beschluss des Landesarbeitsgerichts (LAG) Köln vom 20. Januar 2023 – 9 TaBV 32/22 – muss der Arbeitgeber Betriebsratsmitgliedern für ihre Arbeit keinen separaten Internetzugang zur Verfügung stellen.
06.06.2023

Kein Schadensersatz bei konkludenter Einwilligung in Google Fonts

In seinem Urteil vom 21. Dezember 2022 – 3 O 277/ 22 – entschied das Landgericht (LG) Baden- Baden, dass durch das gezielte Aufrufen einer Website mit dem Ziel, eine Schadensersatzklage aufgrund der Übermittlung der IP-Adresse an den Google Mutterkonzern Alphabet Inc. in den USA geltend zu machen,(...)
06.06.2023

Sonderkündigungsschutz von Datenschutzbeauftragten

Das Landesarbeitsgericht (LAG) Rheinland-Pfalz hat mit Urteil vom 29. August 2022 – 3 Sa 203/21 – entschieden, dass ein freiwillig bestellter Datenschutzbeauftragter keinen Sonderkündigungsschutz nach dem Bundesdatenschutzgesetz (BDSG) genießt.
06.06.2023

Teilkündigung einer Home-office-Vereinbarung

Spätestens seit der Coronapandemie sind Homeoffice-Regelungen bei vielen Arbeitgebern etabliert. Dem Landesarbeitsgericht Hamm lag nun ein Sachverhalt zur Entscheidung vor, bei dem ein Arbeitgeber eine solche Homeoffice-Vereinbarung einseitig kündigte (LAG Hamm, Urteil vom 16. März 2023 – 18 Sa(...)
06.06.2023

Darlegungslast bei Entgeltfortzahlung im Falle einer Fortsetzungskrankheit

Das Bundesarbeitsgericht (BAG) hat mit Urteil vom 18. Januar 2023 – 5 AZR 93/22 – das Urteil des Hessischen Landesarbeitsgerichts (LAG) vom 14. Januar 2022 – 10 Sa 898/21 – bestätigt, in dem das Gericht eine wichtige Entscheidung zur Abstufung der Darlegungslast bei Streitigkeiten über die(...)
06.06.2023

OLG Karlsruhe bestätigt Verbot der pauschalen Werbung für ärztliche Videosprechstunden

Das Oberlandesgericht (OLG) Karlsruhe hat in seinem Urteil vom 22. Dezember 2022 – 4 U 262/22 – die Kriterien hinsichtlich der unzulässigen Werbung für ärztliche Videosprechstunden konkretisiert.
Zu allen aktuellen Meldungen
phone
mail Pfeil weiß