Privacy Shield unwirksam – Wie es jetzt weiter geht
Recht

Privacy Shield unwirksam – Wie es jetzt weiter geht

Unternehmer, Geschäftsführer, Webseiten-VerantwortlicheLesedauer: 2,5 Minuten

Der EUGH hat das seit 2016 bestehende „Privacy Shield“ Abkommen als eine der wichtigsten Rechtsgrundlagen für den Datentransfer zwischen der EU und den USA für unwirksam erklärt (EuGH, 16.7.2020 – C-311/18 “Schrems II”). Für alle Unternehmen, die auch in Zukunft Daten in die USA übertragen wollen, heißt es daher umdisponieren.

Grundlage der Entscheidung – Standardvertragsklauseln als Alternative?

Grundlage für das Urteil des EuGH ist der Umstand, dass die Daten europäischer Verbraucher auf den US-Servern nicht angemessen vor einem Zugriff dortiger Behörden sowie der Geheimdienste geschützt sind. Relevant ist zudem der Umstand, dass in den USA den Betroffenen kein Rechtsweg zur Durchsetzung der im Unionsrecht verankerten Rechtsgarantie offensteht.

Die Verwendung der Standardvertragsklauseln hält der EuGH hingegen nicht für unwirksam. Hierbei handelt es sich um von der EU-Kommission vorgegebene Verträge, unter denen sich die beteiligten Parteien zur Einhaltung von angemessenen Datenschutzstandards verpflichten. Diese müssen nach Auffassung des Gerichts jedoch im Einzelfall geprüft werden. Die EU-Standardvertragsklauseln können nur dann als gültige Rechtsgrundlage für einen Transfer in Drittstaaten dienen, wenn bei der Übermittlung der personenbezogenen Daten das vom Unionsrecht geforderte Schutzniveau eingehalten werden kann. Aufgrund der US-Gesetze bleibt jedoch fraglich, ob die Einhaltung des geforderten Schutzniveaus überhaupt möglich ist. Folglich dürften auch die Standardvertragsklauseln in den meisten Fällen keine adäquate Grundlage für Datentransfers in die USA sein.

Was bedeutet das Urteil für die Praxis

Für die Praxis bedeutet das Urteil, dass die meisten US-Dienste nicht mehr ohne weiteres eingesetzt werden dürfen. Daher ist jedes Unternehmen angehalten sich Gedanken zu machen, wie sie den Schutz von personenbezogenen Daten gewährleisten können, die bei US-Diensten (wie Google, Dropbox, Microsoft, Apple etc.) gespeichert sind.

Ob eine Nutzung der betroffenen Dienste auf Grundlage der Standardvertragsklauseln weiterhin möglich ist, muss im Hinblick auf die Gewährleistung des vom Unionsrecht geforderte Schutzniveau im Einzelfall geprüft werden. Eine weitere Alternative wäre die Einholung einer separaten Einwilligung des Nutzers für die Übertragung der Daten in die USA.

Zudem sollten Unternehmen die Stellungnahmen der Datenschutzbehörden beachten. Einzelne Stellungnahmen wurden bereits veröffentlich, gleichwohl ist zu erwarten, dass zeitnah weitere Stellungnahmen der Aufsichtsbehörden auf nationaler Ebene, sowie des Europäischen Datenschutzausschusses folgen werden.

Handlungsempfehlung

Wir empfehlen allem voran: „Don´t Panik“ – also Ruhe bewahren. Gleichzeitig ist es wichtig, ins Handeln zu kommen. Daher empfehlen wir Ihnen zeitnah die folgenden Schritte umzusetzen:

  • Prüfen Sie die von Ihnen verwendeten Dienste/Plugins;
  • Identifizieren Sie diejenigen, bei denen personenbezogene Daten in die USA transferiert werden;
  • Filtern Sie die Dienste, bei denen Daten allein auf Grundlage des Privacy Shield Abkommens in die USA transferiert werden;
  • Stellen Sie – soweit möglich – auf alternative Garantien um (Standardvertragsklauseln, ausdrückliche Einwilligung des Betroffenen, Ausschließliche Datenspeicherung auf EU-Servern);
  • Kontaktieren Sie ggf. Ihre Dienstleister mit der Bitte um Auskunft darüber, wie diese nach dem Urteil des EuGH für einen rechtskonformen Datentransfer sorgen

Zudem sollten Sie auch daran denken, die Datenschutzerklärung auf Ihrer Webseite entsprechend anzupassen, soweit in dieser die Datenübertragung auf das Privacy Shield Abkommen gestützt war (z.B. beim Einsatz von Google Analytics).

Zum Autor: Marco Koehler ist Rechtsanwalt und Partner der Kanzlei Koehler & Ittner in Berlin. Der Schwerpunkt seiner Tätigkeit liegt in der Beratung in Angelegenheiten des Wirtschaftsrechts, insbesondere des Online- und IT-Rechts sowie des Softwarelizenzrechts. Darüber hinaus betreibt er die KI Datenschutz und Compliance Gesellschaft und ist als Datenschutzbeauftragter für viele mittelständische Unternehmen tätig.

Lassen Sie uns gern über Ihre Potentiale im Online-Bereich sprechen.

Jetzt Gesprächstermin vereinbaren

Icon: Close
Wie können wir Sie erreichen?
Wofür Interessieren Sie sich?
Um welches Unternehmen geht es?
Sind Sie aktuell bereits im Online-Marketing aktiv?

Prima, das hat geklappt. Ihre Anfrage ist bei uns eingegangen.

Sie erhalten in Kürze eine E-Mail von uns, auf die Sie uns gerne antworten und weitere Fragen stellen können.

Sollten Sie keine E-Mail erhalten, dann überprüfen Sie bitte Ihren Spam Ordner.

Ups, da ist etwas schiefgelaufen.

Probieren Sie es bitte später noch einmal oder nutzen Sie den Link, um uns eine für Sie bereits ausgefüllte Fehlermeldung zu schicken. Wir kümmern uns dann um das Problem.

Fehlermeldung verschicken

Bei der Verwendung des Formulars stimme ich der Datenschutzerklärung zu.

zurück zur Übersicht

Icon: Close
Verwendung von Cookies

Um die Seite optimal gestalten und fortlaufend verbessern zu können, verwenden wir Cookies:

Ich stimme zuVerarbeitung Ihrer Daten durch Dritte

Hinweis auf Verarbeitung Ihrer auf dieser Webseite erhobenen Daten in den USA durch Google, Facebook, LinkedIn, Twitter, Youtube: indem Sie auf “Ich stimme zu” klicken, willigen Sie zugleich dem. Art 49 Abs. 1 S. 1 lit. a DSGVO ein, dass Ihre Daten in den USA verarbeitet werden. Die USA werden vom europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden, zu Kontroll- und zu Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden können. Wenn Sie die verwendeten Cookies unter “Einstellungen anpassen” abwählen, dann findet die vorgehend beschriebene Übermittlung nicht statt.

Essentielle Cookies

Cookie Settings

Speichert Einstellungen, die hier getroffen werden. (1 Tag bis 2 Jahr)

Statistik

Google Analytics

Google LLC | Datenschutzerklärung
Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt. Alle Informationen werden anonymisiert gespeichert. (2 Jahre)

HotJar

Hotjar LLC | Datenschutzerklärung
Cookie von Hotjar für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt. Alle Informationen werden anonymisiert gespeichert. (1 Jahr)

Matomo

Matomo | Datenschutzerklärung
Cookies von Matomo für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt. Alle Informationen werden anonymisiert auf den eigenen Servern gespeichert. (1 Jahr)

Marketing

Facebook Pixel

Facebook Ireland Ltd. | Datenschutzerklärung
Cookie von Facebook, das für Website-Analysen, Ad-Targeting und Anzeigenmessung verwendet wird. (1 Jahr)

Linkedin Insight

LinkedIn Ireland Unlimited Company | Datenschutzerklärung
Cookie von LinkedIn für Website-Analysen, Ad-Targeting und Anzeigenmessung. (1 Jahr)

Google Optimize

Google LLC | Datenschutzerklärung
Cookie von Google, das für die Seiten-Optimierung und zur Verbesserung des Nutzererlebnisses verwendet wird. (90 Tage)

Proven Experts

Expert Systems AG | Datenschutzerklärung
Cookie von Proven Experts, welche für die Darstellung von Bewertungen verwendet wird. (90 Tage)

Leadinfo

Leadinfo B.V. | Datenschutzerklärung
Cookies von Leadinfo für Website-Analysen udn Ermittlung von Business-Visitors. (Aktuelle Sitzung bis 30 Minuten)

Funktionen

Calendly

Calendly LLC | Datenschutzerklärung
Cookie von Calendly zur Terminbuchung. Cookie Zustimmung hat eine Verbindung zu Calendly's Servern zur Folge. (2 Jahre)

Ich stimme zu
Icon: Close

Alle 2 Wochen digitale Denkanstöße, Impulse und Tipps

für Führungskräfte und Entscheider im Mittelstand

  • Relevanz und Fokus in Zeiten von Überinformation und Filterblasen
  • Strategien für Engpass-basierte Lösungen
  • Insights und Best Practices
Newsletter-Anmeldung

Vielen Dank für Ihr Interesse an unserem Newsletter.

Sie erhalten in Kürze eine E-Mail, in der Sie Ihre Anmeldung bitte bestätigen.

Sollten Sie keine E-Mail erhalten, dann überprüfen Sie bitte Ihren Spam Ordner.

Ups, da ist etwas schiefgelaufen.

Probieren Sie es bitte später noch einmal oder nutzen Sie den Link, um uns eine für Sie bereits ausgefüllte Fehlermeldung zu schicken. Wir kümmern uns dann um das Problem.

Fehlermeldung verschicken

Sie sind bereits für unseren Newsletter angemeldet.

Das nächste Mailing ist bereits in Arbeit und wird in den nächsten Tagen in Ihrem Postfach sein.

Sollten Sie noch keine Mail von uns erhalten haben, schauen Sie doch mal in Ihren Spam Ordner und fügen uns zu den "sicheren Absendern" hinzu.

Bitte überprüfen Sie Ihr Postfach.

Sie haben vor kurzem eine E-Mail erhalten, in der Sie Ihre Anmeldung bestätigen können.

Sollten Sie keine E-Mail erhalten haben, dann überprüfen Sie bitte Ihren Spam Ordner.

Wegen dem Schutz vor Spam, wird nur eine Anmeldung pro E-Mail und Tag verschickt.

Bei der Verwendung des Formulars stimme ich der Datenschutzerklärung zu.
Bild des Einschub-Moduls