Keine Hinsendekosten für Verbraucher beim Widerruf
In einer aktuellen Entscheidung des Bundesgerichtshofes (Urteil vom 07.07.2010 Az. VIII ZR […]
Nachdem der Europäische Gerichtshof (EuGH) Safe Habour für ungültig erklärt hat, erklärt er den Privacy Shield nun auch für unzulässig (EuGH, 16.7.2020 C-311/18 „Schrems II“).
Wir erklären Ihnen was das für Sie bedeutet!
Dem Urteil vorhergegangen war ein Streit des Datenschutzaktivisten Max Schrems mit Facebook über datenschutzkonforme Datentransfers in Drittstaaten. Schrems hat nun einen „fulminanten“ Sieg errungen. Die Luxemburger Richter erklärten den zwischen der EU-Kommission und den USA vereinbarten Datenschutzschild (Privacy Shield) am Donnerstag für unzulässig.
Wichtig: Firmen dürfen weiterhin auf Basis sogenannter Standardvertragsklauseln personenbezogene Nutzerdaten in die USA oder andere Drittstaaten übertragen.
Kein Urteil fällte der EuGH hinsichtlich der Frage, ob die von Facebook genutzten Klauseln beim Datentransfer in die USA das erforderliche Schutzniveau garantieren.
„Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet . Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u.a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen. Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen.“
Das Urteil erzeugte eine große Rechtsunsicherheit für Firmen mit einer Datenverarbeitung in den USA. Zunächst bedeutet das Urteil, dass ein Großteil des Datenverkehrs zwischen den USA und der EU unzulässig ist! Die meisten US-Dienstleister dürften demnach also nicht eingesetzt werden. Das Urteil betrifft auch die großen Anbieter wie Facebook oder Google, die auf große Probleme treffen, wenn sie Daten von EU-Bürgern in den USA verarbeiteten wollen.
Die DSGVO untersagt die Verarbeitung personenbezogener Daten (i.S.v. Art. 4 Nr.1 DSGVO) außerhalb der EU, wenn in den „Drittländern“ (wie in den USA) kein nach EU-Recht angemessener Datenschutz gewährleistet wird.
Wenn Sie bislang allein auf Basis des Privacy Shield Daten verarbeitet haben, müssen Sie nun zumindest auf die Standardvertragsklauseln umstellen – andernfalls droht ein Daten-Chaos.
Sie können natürlich auch momentan nichts tun und abwarten, wie die EU-Kommission und Datenschutzbehörde reagieren wird – Achtung: natürlich ist das risikobehaftet.
Es könnten Ihnen Maßnahmen von Datenschutzaufsichtsbehörden verhängt werden (Bußgeld). Natürlich könnten Sie auch von Betroffenen, wie auch von Mitbewerbern, abgemahnt werden.
Die EU-Kommission gab sogenannte Angemessenheitsbeschlüsse für die Schweiz, Neuseeland, Andorra, Argentinien, die Färöer Inseln, Guernsey, Japan, Kanada und Israel ab.
Die Staaten müssten die sogenannten „Standard Contractual Clauses“ unterzeichnen. Das sind vorgefertigte Verträge, in denen sich die Staaten zur Einhaltung des Europäischen Datenschutzniveaus verpflichteten oder sich selbst verbindliche Datenschutzregeln unterstellen (sog. „Bindung Corporate Rules“).
Weiterhin wäre ein angemessenes Datenschutzniveau gegeben, wenn die Übermittlung/ Verarbeitung der Daten in Drittländern erforderlich ist und für den Betroffenen auch erkennbar ist. Das wäre beispielsweise der Fall, wenn der Betroffene eine Reise in ein Drittland gebucht hat oder in ein Drittland eine Email versendet.
Des Weiteren würde die Einwilligung des Betroffenen zur einem angemessenem Datenschutzniveau führen. Leider führen solche Einwilligungen in der Realität zu Intransparenz und es fehlt oft an der Freiwilligkeit des Betroffenen.
Das Urteil des EuGH hat keine direkte Auswirkung auf Datentransfers in andere Länder außerhalb der EU, wenn sie sich auf Standardvertragsklauseln (siehe oben) stützen können.
Das sind zB. Länder wie Indien, Vietnam, Russland oder China.
Außnahme: das Datenschutzniveau ist auch dort nicht gleichwertig, was sich bei vielen Ländern geradezu aufdrängt.
Rechtliche Folge: der Datentransfers in solche Länder wäre auch potentiell unwirksam.
Die EU ist nun aufgerufen, schnell für Rechtsklarheit zu sorgen und eine Datenverarbeitung in Drittländern (wie den USA) langfristig zu ermöglichen. Daten können nicht ausschließlich in Europa verarbeitet werden, da es technisch kaum umsetzbar wäre und auch einen massiven Wettbewerbsnachteil für europäische Unternehmen bedeuten würde.
Dieses Urteil hat natürlich starke Folgen für die Internetwirtschaft und auch auf alle internationalen Geschäftsmodelle zwischen der EU und den USA, wenn sie auf den Austausch von personenbezogenen Daten angewiesen sind. Standardvertragsklauseln für Unternehmen einen enormen Aufwand bedeuten.
Wenn Sie unsicher sind, dann weichen Sie nun am besten auf EU-Server aus, anstatt auf US-Anbieter zurückzugreifen, setzen keine US-Dienstleister ein und fragen nach Standardvertragsklauseln und prüfen diese! Wenn es Ihnen möglich sein sollte, holen Sie zusätzlich die Einwilligung der Betroffenen ein.
Sie haben Fragen zum Thema Standardvertragsklauseln und Datenschutz? Melden Sie sich bei uns! Wir stehen Ihnen schnell und unkompliziert zur Seite und beraten Sie gerne.
Lesen Sie auch unseren Artikel zum Thema „Facebook wieder vor dem EuGH“
Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).
ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTORIn einer aktuellen Entscheidung des Bundesgerichtshofes (Urteil vom 07.07.2010 Az. VIII ZR […]
Bereits vor fast genau zwei Jahren berichteten wir über den Streit […]
Das Inkrafttreten der neuen Datenschutz-Grundverordnung (DSGVO) Ende Mai hat in vielen […]
Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.
LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.
Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.
Das Update für Ihre Website nach den Anforderungen der DSGVO und haben Sie keine Angst vor Abmahnungen oder Bußgeldern.
Überlassen Sie Ihre Behandlung im Ernstfall nicht dem Zufall. Bestimmen Sie mit einer Patientenverfügung selbst, welche Behandlung Sie wünschen und welche nicht.
Machen Sie keine Kompromisse. Lassen Sie Ihren Vertrag anwaltlich prüfen, bevor Sie ihn unterschreiben. Professionell und zum Festpreis.
LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.