Privacy Shield unwirksam – Wie es jetzt weiter geht
Datenschutz

Privacy Shield unwirksam – Wie es jetzt weiter geht

Unternehmer, Geschäftsführer, Webseiten-VerantwortlicheLesedauer: 2,5 Minuten

Der EUGH hat das seit 2016 beste­hende „Pri­vacy Shield“ Abkom­men als eine der wich­tigs­ten Rechts­grund­la­gen für den Daten­trans­fer zwi­schen der EU und den USA für unwirk­sam erklärt (EuGH, 16.7.2020 – C-311/18 “Schrems II”). Für alle Unter­neh­men, die auch in Zukunft Daten in die USA über­tra­gen wol­len, heißt es daher umdis­po­nie­ren.

Grund­lage der Ent­schei­dung – Stan­dard­ver­trags­klau­seln als Alter­na­tive?

Grund­lage für das Urteil des EuGH ist der Umstand, dass die Daten euro­päi­scher Ver­brau­cher auf den US-Ser­vern nicht ange­mes­sen vor einem Zugriff dor­ti­ger Behör­den sowie der Geheim­dienste geschützt sind. Rele­vant ist zudem der Umstand, dass in den USA den Betrof­fe­nen kein Rechts­weg zur Durch­set­zung der im Uni­ons­recht ver­an­ker­ten Rechts­ga­ran­tie offen­steht.

Die Ver­wen­dung der Stan­dard­ver­trags­klau­seln hält der EuGH hin­ge­gen nicht für unwirk­sam. Hier­bei han­delt es sich um von der EU-Kom­mis­sion vor­ge­ge­bene Ver­träge, unter denen sich die betei­lig­ten Par­teien zur Ein­hal­tung von ange­mes­se­nen Daten­schutz­stan­dards ver­pflich­ten. Diese müs­sen nach Auf­fas­sung des Gerichts jedoch im Ein­zel­fall geprüft wer­den. Die EU-Stan­dard­ver­trags­klau­seln kön­nen nur dann als gül­tige Rechts­grund­lage für einen Trans­fer in Dritt­staa­ten die­nen, wenn bei der Über­mitt­lung der per­so­nen­be­zo­ge­nen Daten das vom Uni­ons­recht gefor­derte Schutz­ni­veau ein­ge­hal­ten wer­den kann. Auf­grund der US-Gesetze bleibt jedoch frag­lich, ob die Ein­hal­tung des gefor­der­ten Schutz­ni­ve­aus über­haupt mög­lich ist. Folg­lich dürf­ten auch die Stan­dard­ver­trags­klau­seln in den meis­ten Fäl­len keine adäquate Grund­lage für Daten­trans­fers in die USA sein.

Was bedeu­tet das Urteil für die Pra­xis

Für die Pra­xis bedeu­tet das Urteil, dass die meis­ten US-Dienste nicht mehr ohne wei­te­res ein­ge­setzt wer­den dür­fen. Daher ist jedes Unter­neh­men ange­hal­ten sich Gedan­ken zu machen, wie sie den Schutz von per­so­nen­be­zo­ge­nen Daten gewähr­leis­ten kön­nen, die bei US-Diens­ten (wie Goo­gle, Drop­box, Micro­soft, Apple etc.) gespei­chert sind.

Ob eine Nut­zung der betrof­fe­nen Dienste auf Grund­lage der Stan­dard­ver­trags­klau­seln wei­ter­hin mög­lich ist, muss im Hin­blick auf die Gewähr­leis­tung des vom Uni­ons­recht gefor­derte Schutz­ni­veau im Ein­zel­fall geprüft wer­den. Eine wei­tere Alter­na­tive wäre die Ein­ho­lung einer sepa­ra­ten Ein­wil­li­gung des Nut­zers für die Über­tra­gung der Daten in die USA.

Zudem soll­ten Unter­neh­men die Stel­lung­nah­men der Daten­schutz­be­hör­den beach­ten. Ein­zelne Stel­lung­nah­men wur­den bereits ver­öf­fent­lich, gleich­wohl ist zu erwar­ten, dass zeit­nah wei­tere Stel­lung­nah­men der Auf­sichts­be­hör­den auf natio­na­ler Ebene, sowie des Euro­päi­schen Daten­schutzaus­schus­ses fol­gen wer­den.

Hand­lungs­emp­feh­lung

Wir emp­feh­len allem voran: „Don´t Panik“ – also Ruhe bewah­ren. Gleich­zei­tig ist es wich­tig, ins Han­deln zu kom­men. Daher emp­feh­len wir Ihnen zeit­nah die fol­gen­den Schritte umzu­set­zen:

  • Prü­fen Sie die von Ihnen ver­wen­de­ten Dienste/Plug­ins;
  • Iden­ti­fi­zie­ren Sie die­je­ni­gen, bei denen per­so­nen­be­zo­gene Daten in die USA trans­fe­riert wer­den;
  • Fil­tern Sie die Dienste, bei denen Daten allein auf Grund­lage des Pri­vacy Shield Abkom­mens in die USA trans­fe­riert wer­den;
  • Stel­len Sie – soweit mög­lich – auf alter­na­tive Garan­tien um (Stan­dard­ver­trags­klau­seln, aus­drück­li­che Ein­wil­li­gung des Betrof­fe­nen, Aus­schließ­li­che Daten­spei­che­rung auf EU-Ser­vern);
  • Kon­tak­tie­ren Sie ggf. Ihre Dienst­leis­ter mit der Bitte um Aus­kunft dar­über, wie diese nach dem Urteil des EuGH für einen rechts­kon­for­men Daten­trans­fer sor­gen

Zudem soll­ten Sie auch daran den­ken, die Daten­schut­z­er­klä­rung auf Ihrer Web­seite ent­spre­chend anzu­pas­sen, soweit in die­ser die Daten­über­tra­gung auf das Pri­vacy Shield Abkom­men gestützt war (z.B. beim Ein­satz von Goo­gle Ana­ly­tics).

Zum Autor: Marco Koeh­ler ist Rechts­an­walt und Part­ner der Kanz­lei Koeh­ler & Itt­ner in Ber­lin. Der Schwer­punkt sei­ner Tätig­keit liegt in der Bera­tung in Ange­le­gen­hei­ten des Wirt­schafts­rechts, ins­be­son­dere des Online- und IT-Rechts sowie des Soft­wa­re­li­zenz­rechts. Dar­über hin­aus betreibt er die KI Daten­schutz und Com­pliance Gesell­schaft und ist als Daten­schutz­be­auf­trag­ter für viele mit­tel­stän­di­sche Unter­neh­men tätig.

Las­sen Sie uns gern über Ihre Poten­tiale im Online-Bereich spre­chen.

Jetzt Gesprächs­ter­min ver­ein­ba­ren

Icon: Close
Wie können wir Sie erreichen?
Wofür Interessieren Sie sich?
Um welches Unternehmen geht es?
Sind Sie aktuell bereits im Online-Marketing aktiv?

Prima, das hat geklappt. Ihre Anfrage ist bei uns eingegangen.

Sie erhalten in Kürze eine E-Mail von uns, auf die Sie uns gerne antworten und weitere Fragen stellen können.

Sollten Sie keine E-Mail erhalten, dann überprüfen Sie bitte Ihren Spam Ordner.

Ups, da ist etwas schiefgelaufen.

Probieren Sie es bitte später noch einmal oder nutzen Sie den Link, um uns eine für Sie bereits ausgefüllte Fehlermeldung zu schicken. Wir kümmern uns dann um das Problem.

Fehlermeldung verschicken

Bei der Verwendung des Formulars stimme ich der Datenschutzerklärung zu.

zurück zur Übersicht

Icon: Close
Verwendung von Cookies

Um die Seite optimal gestalten und fortlaufend verbessern zu können, verwenden wir Cookies:

Ich stimme zuVerarbeitung Ihrer Daten durch Dritte

Hinweis auf Verarbeitung Ihrer auf dieser Webseite erhobenen Daten in den USA durch Google, Facebook, LinkedIn, Twitter, Youtube: indem Sie auf “Ich stimme zu” klicken, willigen Sie zugleich dem. Art 49 Abs. 1 S. 1 lit. a DSGVO ein, dass Ihre Daten in den USA verarbeitet werden. Die USA werden vom europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden, zu Kontroll- und zu Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden können. Wenn Sie die verwendeten Cookies unter “Einstellungen anpassen” abwählen, dann findet die vorgehend beschriebene Übermittlung nicht statt.

Essentielle Cookies

Cookie Settings

Speichert Einstellungen, die hier getroffen werden. (1 Tag bis 2 Jahr)

Statistik

Google Analytics

Google LLC | Datenschutzerklärung
Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt. Alle Informationen werden anonymisiert gespeichert. (2 Jahre)

HotJar

Hotjar LLC | Datenschutzerklärung
Cookie von Hotjar für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt. Alle Informationen werden anonymisiert gespeichert. (1 Jahr)

Matomo

Matomo | Datenschutzerklärung
Cookies von Matomo für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt. Alle Informationen werden anonymisiert auf den eigenen Servern gespeichert. (1 Jahr)

Marketing

Facebook Pixel

Facebook Ireland Ltd. | Datenschutzerklärung
Cookie von Facebook, das für Website-Analysen, Ad-Targeting und Anzeigenmessung verwendet wird. (1 Jahr)

Linkedin Insight

LinkedIn Ireland Unlimited Company | Datenschutzerklärung
Cookie von LinkedIn für Website-Analysen, Ad-Targeting und Anzeigenmessung. (1 Jahr)

Google Optimize

Google LLC | Datenschutzerklärung
Cookie von Google, das für die Seiten-Optimierung und zur Verbesserung des Nutzererlebnisses verwendet wird. (90 Tage)

Proven Experts

Expert Systems AG | Datenschutzerklärung
Cookie von Proven Experts, welche für die Darstellung von Bewertungen verwendet wird. (90 Tage)

Leadinfo

Leadinfo B.V. | Datenschutzerklärung
Cookies von Leadinfo für Website-Analysen udn Ermittlung von Business-Visitors. (Aktuelle Sitzung bis 30 Minuten)

Funktionen

Calendly

Calendly LLC | Datenschutzerklärung
Cookie von Calendly zur Terminbuchung. Cookie Zustimmung hat eine Verbindung zu Calendly's Servern zur Folge. (2 Jahre)

Ich stimme zu