Icon Datenschutzbeauftragter
Datenschutz

Das Scheitern des EU-US Privacy Shield (05.08.2020)

Simon Lang
Verfasst von: Simon Lang
Produktmanager

Nachdem wir letzte Woche auf das European Data Protection Board (EDPB) geschaut haben, hat sich nun auch die Datenschutzkonferenz (DSK) zum Scheitern des EU-US Privacy Shield geäußert. Auf die wesentlichen Entscheidungen der DSK nehmen wir in diesem Sondernewsletter Bezug.

Nachdem wir letzte Woche auf das European Data Protection Board (EDPB) geschaut haben, hat sich nun auch die Datenschutzkonferenz (DSK) zum Scheitern des EU-US Privacy Shield geäußert. Auf die wesentlichen Entscheidungen der DSK nehmen wir in diesem Sondernewsletter Bezug. Darüber hinaus stellen wir Ihnen die sogenannten Angemessenheitsbeschlüsse der EU dar und zeigen auf, welche Bedeutung diese insbesondere in der Zukunft haben könnten.

Was ist die Datenschutzkonferenz?

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (kurz: Datenschutzkonferenz oder DSK) ist ein Gremium, das sich mit aktuellen Fragen des Datenschutzes in Deutschland befasst und zu ihnen Stellung nimmt. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen. Unterstützt wird die Arbeit der DSK durch Arbeitskreise. Sie arbeiten der DSK zu und bereiten deren Entscheidung vor,

Im Zuge des Scheiterns des EU-US Privacy Shield ist vor allem der internationale Datenverkehr in den Fokus gerückt. Den Vorsitz dieser Arbeitsgruppe hat das Land Berlin.

Wie äußert sich die DSK zum Scheitern des EU-US Privacy Shield?

Am 28.07.2020 hat die DSK eine Pressemitteilung [1] zum Urteil des Europäischen Gerichtshof (EuGH) herausgegeben. Die Erkenntnisse lassen sich wie folgt zusammenfassen:

  1. Die Übermittlungen personenbezogener Daten in die USA auf der Grundlage des EU-US Privacy Shield müssen unverzüglich eingestellt werden.
     
  2. Die Standardvertragsklauseln können weiter angewendet werden. Für die Übermittlung von personenbezogenen Daten verantwortliche Unternehmen und deren Empfänger müssen jedoch bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der Europäischen Union genießen. Sollte dies nicht der Fall sein, ist zu prüfen, welche zusätzlichen Maßnahmen zur Sicherstellung eines dem Schutzniveau EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden können. Ohne zusätzliche Maßnahmen reichen bei einer Datenübermittlung in die USA die Standardvertragsklauseln nicht aus.
     
  3. Das EuGH-Urteil findet auch auf andere Garantien nach Art. 46 DSGVO Anwendung, wie z.B. verbindliche interne Datenschutzvorschriften (sogenannte Binding Corporate Rules – BCR). Daher gilt der gleiche Grundsatz wie in Nr. 2 – es müssen ggf. weitere Schutzmaßnahmen getroffen werden.
     
  4. Eine Übermittlung von personenbezogenen Daten aus der EU in die USA oder anderen Drittstaaten nach Art. 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Art. 49 DSGVO im Einzelfall erfüllt sind. Hierzu hat der Europäische Datenschutzausschuss (EDPB) Leitlinien veröffentlicht. [2]
     
  5. Verantwortliche Unternehmen, die weiterhin personenbezogene Daten in die USA oder andere Drittstaaten übermitteln möchten, müssen unverzüglich prüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

War das EU-US Privacy Shield der einzige Angemessenheitsbeschluss der EU in Bezug auf die Übermittlung von personenbezogenen Daten in Drittstaaten?

Nein. Die Europäische Kommission hat gem. Art. 45 Abs. 3 DSGVO für einige Länder ein angemessenen Schutzniveau festgestellt. Diese Länder sind zurzeit [3]:

  • Andorra
  • Argentinien
  • Kanada
  • Färöer-Inseln
  • Guernsey
  • Israel
  • Isle of Man
  • Japan
  • Jersey
  • Neuseeland
  • Schweiz
  • Uruguay

Diese Liste kann sich jederzeit erweitern oder reduzieren. Verantwortliche Unternehmen sollten sich daher regelmäßig über das (Nicht-)Vorhandensein eines Angemessenheitsbeschlusses in einem Drittland erkundigen.

Kann ich aufgrund eines Angemessenheitsbeschlusses ungeprüft personenbezogene Daten in oben genannte Drittstaaten übermitteln?

Nein. Auch wenn ein Angemessenheitsbeschluss der EU für das Drittland existiert, bleibt das für den Datenexport verantwortliche Unternehmen in der Pflicht, die Rechtmäßigkeit zu überprüfen. Vor der Übermittlung von personenbezogenen Daten auf der Grundlage eines Angemessenheitsbeschlusses ist daher unbedingt zu prüfen, ob der geplante Transfer auch von der Tragweite des Angemessenheitsbeschlusses umfasst ist.

So erfasst beispielsweise der Angemessenheitsbeschluss für Kanada nur solche Datenverarbeitungen, die dem Personal Information Protection and Electronic Documents Act unterfallen.

Welche Risiken können bei der Übermittlung von personenbezogenen Daten z.B. in die USA bestehen?

Die Risiken bestehen in dreierlei Hinsicht.

Betroffene Personen können Schadensersatz verlangen

Jede Person hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter, wenn aufgrund eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller
oder immaterieller Schaden entstanden ist. Geregelt ist dies in Art. 82 DSGVO [4].

Aufsichtsbehörden können Bußgelder aussprechen

Aufsichtsbehörden können bei unrechtmäßigen Verarbeitungen Bußgelder aussprechen. Geregelt ist dies in Art. 58 Abs. 2 lit. h) DSGVO. Die Bedingungen für die Verhängung von Geldbußen sind in Art. 83 DSGVO [5] geregelt. Wie bereits oben beschrieben ist das EU-US Privacy-Shield unmittelbar ungültig. Eine Übergangsfrist wird es daher nicht geben.

Mitbewerber können ggf. wettbewerbsrechtliche Abmahnungen erwirken

Sofern ein Verstoß gegen datenschutzrechtliche Bestimmungen vorliegen, die auch das Marktverhalten regeln sollen und im konkreten Fall eine spürbare Beeinträchtigung der Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern mit sich bringt, können wohl auch wirksame Abmahnungen erwirkt werden.

Fazit

Es bleibt abzuwarten, wie betroffene Personen, Datenschutzaufsichtsbehörden und Mitbewerber auf die Entscheidung des EuGH im Einzelfall reagieren. Verantwortliche Unternehmen sollten jedoch Vorkehrungen treffen, die die drei genannten Risiken weitestgehend minimieren. Zumindest sollte eine Übermittlung von personenbezogenen Daten auf Grundlage des EU-US Privacy Shield eingestellt werden. Standardvertragsklauseln können eine Lösung sein, sind jedoch kritisch zu betrachten. Weitere Schutzmaßnahmen sollten getroffen werden. Hierzu haben wir Sie in unserem Sondernewsletter von letzter Woche umfangreich informiert.

Praxistipp

Erster Ansatzpunkt für Betroffene, Behörden oder Mitbewerber kann Ihre Webseite sein. Kontrollieren Sie daher Ihre Webseite auf eingebundene Dienste und Plugins, die personenbezogene Daten wie IP-Adressen in die USA oder ein sonstiges Drittland übermitteln. Zum Teil wird es schwierig sein , jede Domain und Subdomain auf enthaltene Dienste und Plugins zu überprüfen. Unser Cyber Security Experte Matthias Niedung hat passend hierfür einen „Webseiten-Check“ programmiert, der Ihnen die Arbeit zu großen Teilen abnehmen kann. Sprechen Sie uns gerne an, wenn Sie Ihre Webseite(n) geprüft haben möchten.

3. Sondernewsletter Ausgabe downloaden.

[1] Siehe https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf (zuletzt abgerufen am 30.07.2020)

[2] Siehe: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_de.pdf

[3] Stand 30.07.2020

[4] Siehe auch § 48 DSK-EKD bzw. § 50 KDG

[5] Siehe auch § 45 DSG-EKD bzw. § 51 KDG

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.