Untersagungsanordnungen Google Analytics
Nach der Entscheidung des EuGH zu Cookies hat der Landesbeauftragte für den Datenschutz […]
Mit Urteil vom 16.7.2020 hat der EuGH in einem Vorabentscheidungsverfahren (C-3111/18) des irischen High Courts entschieden, dass das Privacy-Shield-Abkommen zwischen der EU und den USA ungültig sei. Dieses Abkommen sah vor, dass in der EU ansässige Unternehmen ihre personenbezogenen Daten an ihre Mutterkonzerne, oder auch nur Geschäftspartner in den USA übermitteln durften. Zur Entscheidung kam es durch eine Klage des Datenschützers Max Schrems, der die Weitergabe von personenbezogenen Daten durch Facebook Ireland Ltd. an seinen Mutterkonzern Facebook Inc. und den mangelnden Schutz vor US-amerikanischen Überwachungsbehörden kritisierte.
Die Folge ist eine große Umstellung für viele unionseuropäische Unternehmen, die mit US-amerikanischen Unternehmen zusammenarbeiten. Sie dürfen nun ihre Daten nicht mehr auf Basis des Privacy-Shield austauschen können. Der Grund dafür liegt darin, dass die EU für den Datenaustausch mit Drittländern einen hohen Sicherheitsstandard vorsieht. Laut Art. 44 DSGVO dürfen personenbezogene Daten aus der EU nur dann in Drittländer übermittelt werden, wenn diese einen der EU adäquaten Datenschutz gesetzlich verankert haben und auch gewährleisten. Der Privacy-Shield genügt dem nicht mehr, weshalb es fortan einige Punkte gibt, auf die man als Unternehmen achten muss, um hohen Bußgeldern und Schadensersatzforderungen zu entgehen. Der Landesbeauftragte für Datenschutz und Informationstechnik des Landes Bandes-Württemberg hat diesbezüglich bereits eine Übersicht zusammengestellt, was unionseuropäische Unternehmen in Zukunft beachten sollten, wenn sie weiterhin mit US-amerikanischen Unternehmen Datenverkehr austauschen. Wir haben dies nochmal verkürzt in Form einer Checkliste zusammengefasst.
Hier ist die Schwierigkeit nicht die allseitsbekannten US-Unternehmen, wie Facebook, Google oder Microsoft ausfindig zu machen, sondern beispielsweise in der EU ansässige Dienstleister, die wiederum selbst Subunternehmen in den USA führen.
Sobald Sie die in Frage kommenden Unternehmen ausfindig gemacht haben, mit denen Sie kooperieren, sollten Sie diese umgehend über die neue Entscheidung des EuGH in Kenntnis setzen und auch mögliche Konsequenzen aufzeigen.
Die Kommission hat für den Datenexport in Drittländer sogenannte Standardvertragsklauseln (Art. 46 Abs. 2c DSGVO) erstellt: https://eurlex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087. In Ländern, in denen Behörden oder sonstigen Stellen des Drittlandes in unverhältnismäßiger Art und Weise in die Rechte der betroffenen Personen eingreifen können, reichen diese jedoch nicht aus. Die USA wurden als solches Land eingestuft. Es bedarf also noch weiterer Garantien, wie etwa einer Verschlüsselung der Dateien, einer Hortung der Dateien in einem der DSGVO unterliegendem Land, oder schlicht dem Nichtexport der Dateien in das Drittland.
Sollte Sie nach Durchgang aller rechtlichen Möglichkeiten diese nicht erfüllen können, so gäbe es noch die Ausnahmevorschrift Art. 49 DSGVO. Da es sich hierbei aber eben um eine Ausnahmevorschrift handelt, müssen hierfür auch die in der Norm aufgezählten Tatbestände vorliegen. Diese wären beispielsweise, dass die betroffene Person in eine Datenübertragung ausdrücklich einwilligt unter Aufklärung der damit einhergehenden Risiken. Eine Übermittlung aus wichtigen Gründen des öffentlichen Interesses, oder zum Schutz lebenswichtiger Interessen der betroffenen Personen. Weitere Ausnahmen sind in Art. 49 DSGVO abschließend enumerativ aufgezählt.
Selbstverständlich betrifft das Urteil nicht nur den Datenexport in die USA. Die DSGVO entfaltet ihre Wirkung auf alle Datenübertragungen in Drittländer. Daher sollte zunächst geprüft werden, ob ein Angemessenheitsbeschluss (Art. 45 DSGVO) für das Land vorliegt, in das die personenbezogenen Daten exportiert werden. Dies betrifft beispielsweise Kanada, Japan, Neuseeland oder die Schweiz (ausführliche Liste: https://ec.europa.eu/info/law/lawtopic/data-protection/international-dimension-data-protection/adequacydecisions_en). Dann sollten Sie überprüfen, ob Sie die oben bereits erwähnten Standvertragsklauseln für das jeweilige Land unverändert nutzen können, oder wie bei den USA neuerdings noch zusätzliche Garantien vertraglich verankern müssten.
Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).
ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTORNach der Entscheidung des EuGH zu Cookies hat der Landesbeauftragte für den Datenschutz […]
Die Massenentlassungsanzeige aus § 17 Kündigungsschutzgesetz (KSchG) stellt Arbeitgeber immer wieder […]
Damit ein Werk urheberrechtlichen Schutz genießen kann muss es sich um […]
Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.
LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.
Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.
Mit der EU Marke ist Ihre Marke europaweit geschützt und sichert Sie und Ihre Marke vor parallelen Marken in anderen europäischen Staaten. Nutzen Sie jetzt Ihre Chance auf Ihre EU Marke
Gehen Sie auf Nr. Sicher. Lassen Sie Ihre Werbung vor der Veröffentlichung anwaltlich prüfen und sichern Sie sich vor Abmahnungen.
Sie haben eine Filesharing Abmahnung erhalten? Lassen Sie sich vom Profi verteidigen und reduzieren Sie Ihre Kosten.
LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.