Privacy Shield – Das muss man nun wissen

Guido Kluck, LL.M. | 25. September 2020

Was ist passiert?

Mit Urteil vom 16.7.2020 hat der EuGH in einem Vorabentscheidungsverfahren (C-3111/18) des irischen High Courts entschieden, dass das Privacy-Shield-Abkommen zwischen der EU und den USA ungültig sei. Dieses Abkommen sah vor, dass in der EU ansässige Unternehmen ihre personenbezogenen Daten an ihre Mutterkonzerne, oder auch nur Geschäftspartner in den USA übermitteln durften. Zur Entscheidung kam es durch eine Klage des Datenschützers Max Schrems, der die Weitergabe von personenbezogenen Daten durch Facebook Ireland Ltd. an seinen Mutterkonzern Facebook Inc. und den mangelnden Schutz vor US-amerikanischen Überwachungsbehörden kritisierte.

Was sind die Folgen?

Die Folge ist eine große Umstellung für viele unionseuropäische Unternehmen, die mit US-amerikanischen Unternehmen zusammenarbeiten. Sie dürfen nun ihre Daten nicht mehr auf Basis des Privacy-Shield austauschen können. Der Grund dafür liegt darin, dass die EU für den Datenaustausch mit Drittländern einen hohen Sicherheitsstandard vorsieht. Laut Art. 44 DSGVO dürfen personenbezogene Daten aus der EU nur dann in Drittländer übermittelt werden, wenn diese einen der EU adäquaten Datenschutz gesetzlich verankert haben und auch gewährleisten. Der Privacy-Shield genügt dem nicht mehr, weshalb es fortan einige Punkte gibt, auf die man als Unternehmen achten muss, um hohen Bußgeldern und Schadensersatzforderungen zu entgehen. Der Landesbeauftragte für Datenschutz und Informationstechnik des Landes Bandes-Württemberg hat diesbezüglich bereits eine Übersicht zusammengestellt, was unionseuropäische Unternehmen in Zukunft beachten sollten, wenn sie weiterhin mit US-amerikanischen Unternehmen Datenverkehr austauschen. Wir haben dies nochmal verkürzt in Form einer Checkliste zusammengefasst.

Checkliste:

1. Checken Sie, ob ihr Unternehmen personenbezogenen Datenverkehr mit einem dem US-Recht unterliegenden Unternehmen austauscht

Hier ist die Schwierigkeit nicht die allseitsbekannten US-Unternehmen, wie Facebook, Google oder Microsoft ausfindig zu machen, sondern beispielsweise in der EU ansässige Dienstleister, die wiederum selbst Subunternehmen in den USA führen.

2. Setzen Sie sich mit ihrem Vertragspartner in Verbindung und informieren Sie ihn über die aktuelle Änderung der hiesigen Datenschutzbestimmungen

Sobald Sie die in Frage kommenden Unternehmen ausfindig gemacht haben, mit denen Sie kooperieren, sollten Sie diese umgehend über die neue Entscheidung des EuGH in Kenntnis setzen und auch mögliche Konsequenzen aufzeigen.

3. Versuchen Sie den Datenverkehr mit Standardvertragsklauseln erneut rechtlich abzusichern

Die Kommission hat für den Datenexport in Drittländer sogenannte Standardvertragsklauseln (Art. 46 Abs. 2c DSGVO) erstellt: https://eurlex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087. In Ländern, in denen Behörden oder sonstigen Stellen des Drittlandes in unverhältnismäßiger Art und Weise in die Rechte der betroffenen Personen eingreifen können, reichen diese jedoch nicht aus. Die USA wurden als solches Land eingestuft. Es bedarf also noch weiterer Garantien, wie etwa einer Verschlüsselung der Dateien, einer Hortung der Dateien in einem der DSGVO unterliegendem Land, oder schlicht dem Nichtexport der Dateien in das Drittland.

4. Ausnahmevorschrift Art. 49 DSGVO prüfen

Sollte Sie nach Durchgang aller rechtlichen Möglichkeiten diese nicht erfüllen können, so gäbe es noch die Ausnahmevorschrift Art. 49 DSGVO. Da es sich hierbei aber eben um eine Ausnahmevorschrift handelt, müssen hierfür auch die in der Norm aufgezählten Tatbestände vorliegen. Diese wären beispielsweise, dass die betroffene Person in eine Datenübertragung ausdrücklich einwilligt unter Aufklärung der damit einhergehenden Risiken. Eine Übermittlung aus wichtigen Gründen des öffentlichen Interesses, oder zum Schutz lebenswichtiger Interessen der betroffenen Personen. Weitere Ausnahmen sind in Art. 49 DSGVO abschließend enumerativ aufgezählt.

Was ist, wenn mein Unternehmen Daten in andere Drittländer exportiert?

Selbstverständlich betrifft das Urteil nicht nur den Datenexport in die USA. Die DSGVO entfaltet ihre Wirkung auf alle Datenübertragungen in Drittländer. Daher sollte zunächst geprüft werden, ob ein Angemessenheitsbeschluss (Art. 45 DSGVO) für das Land vorliegt, in das die personenbezogenen Daten exportiert werden. Dies betrifft beispielsweise Kanada, Japan, Neuseeland oder die Schweiz (ausführliche Liste: https://ec.europa.eu/info/law/lawtopic/data-protection/international-dimension-data-protection/adequacydecisions_en). Dann sollten Sie überprüfen, ob Sie die oben bereits erwähnten Standvertragsklauseln für das jeweilige Land unverändert nutzen können, oder wie bei den USA neuerdings noch zusätzliche Garantien vertraglich verankern müssten.

Jetzt teilen:

Guido Kluck, LL.M.

Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).

ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTOR

Das könnte Sie auch interessieren

Holen Sie sich Unterstützung

SIE HABEN NOCH FRAGEN?

Online Termin vereinbaren

Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.

Antworten per WhatsApp

LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.

LEGAL SMART Anwaltshotline

Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.

LEGAL SMART RECHTSPRODUKTE

ANWALTLICHE LEISTUNG ZUM FESTPREIS

LEGAL SMART Rechtsprodukt Markenanmeldung DE
299,00 €

Markenanmeldung DE

Schützen Sie Ihren Namen oder Ihr Produkt oder Dienstleistung durch eine Eintragung im Markenregister mit Ihrer eigenen Marke

LEGAL SMART Rechtsprodukt Markenanmeldung EU
899,00 €

Markenanmeldung EU

Mit der EU Marke ist Ihre Marke europaweit geschützt und sichert Sie und Ihre Marke vor parallelen Marken in anderen europäischen Staaten. Nutzen Sie jetzt Ihre Chance auf Ihre EU Marke

LEGAL SMART Rechtsprodukt Patientenverfügung
99,00 €

Patientenverfügung

Überlassen Sie Ihre Behandlung im Ernstfall nicht dem Zufall. Bestimmen Sie mit einer Patientenverfügung selbst, welche Behandlung Sie wünschen und welche nicht.

MEHR PRODUKTE Anwaltliche Leistung zum Festpreis

LEGAL SMART Rechtsanwaltsgesellschaft mbH

LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.