Schrems II: Das EU-US Privacy Shield ist ungültig

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter

Der EU-US-Datenschutzschild ist ungültig erklärt worden und es bestehen zudem Unklarheiten in Bezug auf Standardvertragsklauseln, die teilweise als noch gültig gelten und teilweise nicht. Lassen Sie uns das im Detail erklären.

Das Schrems II-Urteil, von dem wir alle so viel gehört haben, hat zu Verwirrung und nicht zu wenig Panik geführt. In diesem kurzen Artikel möchten wir kurz das Urteil erläutern, was es bedeutet und vor allem, was Sie als Organisation nun tun müssen.

Das Privacy Shield ist 2015 in Kraft getreten und hat ein früheres Gesetz, bekannt als Safe Harbor, ersetzt. Beide Gesetze wurfen durch Beschwerden des Datenschutzaktivisten und Anwalts Max Schrems in Frage gestellt und niedergeschlagen, weshalb die Fälle auch unter den Namen Schrems I und Schrems II bekannt geworden sind.

Warum wurde das EU-US-Privacy Shield für ungültig erklärt?

Das Privacy Shield hat keinen ausreichenden Schutz geboten, um eine staatliche Überwachung seitens der USA zu verhindern. Außerdem fehlten Gerichten die Befugniss, Unternehmen zur Rechenschaft zu ziehen und sicherzustellen, dass wichtige Datenschutzmaßnahmen eingehalten werden.

Komplikationen bei internationalen Datenübertragungen ergeben sich auf Grund unterschiedlicher Gesetzesgebungen, zwischen denen eine Einigung erzielt werden muss, damit personenbezogene Daten nicht gemäß den Gesetzen beider “Parteien”, in diesem Fall der EU und den USA, einem unangemessenen Risiko ausgesetzt werden. Die Absicht hinter dem Privacy Shield war es, jede Lücke zwischen diesen beiden Gesetzesgebungen zu schließen.

“Die Anforderungen der nationalen Sicherheit, des öffentlichen Interesses und der Strafverfolgung der USA haben Vorrang und dulden somit Eingriffe in die Grundrechte von Personen, deren Daten in dieses Drittland übertragen werden.”

EU-Gerichtshof

Das Argument im Schrems II Fall ist, dass in den USA dem Staat unter dem Deckmantel der nationalen Sicherheit mehr Macht zugeschrieben wird, und dies eindeutig ein unüberwindbares Problem für die in der EU-Grundrechtecharta festgelegten EU-Standards für das Recht jedes Einzelnen auf Privatsphäre darstellt. Damit ist das Privacy Shield, mit dem diese Unterschiede gemindert werden sollten, ungültig.

Schrems II und Standardsvertragsklauseln

Standardvertragsklauseln, ein Mechanismus gemäß Kapitel 5 der DSGVO, wurden als weiterhin gültig beurteilt. Wenn Sie also im Rahmen dieses Mechanismus Daten aus der EU in die USA übertragen, agieren Sie in der Regel datenschutzkonform.

Ganz so einfach ist es jedoch nicht: Obwohl Standardvertragsklauseln für gültig erklärt wurden, müssen sie jedoch im Einzelfall überprüft werden.

schrems II privacy shield ruling

Věra Jourova, Vizepräsidentin der Europäischen Kommission, sagte in ihrer Rede:

„Der Gerichtshof hat die Privacy Shield-Entscheidung für ungültig erklärt, aber auch bestätigt, dass Standardvertragsklauseln ein gültiges Instrument für die Übermittlung personenbezogener Daten an in Drittländern ansässige Verarbeiter bleiben. Dies bedeutet, dass der transatlantische Datenfluss auf der Grundlage der von der DSGVO bereitgestellten breiten Toolbox für internationale Übertragungen fortgesetzt werden kann.”

Es gibt also zwei wichtige Punkte, die aus dem Urteil resultieren:

  1. Das EU-US Privacy Shield ist ungültig.
  2. Standardvertragsklauseln SIND gültig, müssen jedoch von Fall zu Fall überprüft werden.

Was bedeutet Schrems II für meine Organisation?

Sie sollten nun unmittelbar nach dem Urteil folgende Schritte durchführen:

  • Prüfen Sie, wie Sie internationale Datenübertragungen mit Kunden, Geschäftspartnern, Zulieferern usw. aktuell durchführen
  • Finden Sie heraus, ob Sie tatsächlich Daten übertragen oder nicht, und gibt es einen legitimen Grund dafür?

  • Berücksichtigen Sie in welches Land Sie Daten übertragen (hier können im Fall von Standardvertragsklauseln Unklarheiten bestehen). Sie müssen feststellen, ob die Schutzmaßnahmen im Bestimmungsland den von der EU geforderten entsprechen.

  • Es wird keine offizielle Nachfrist geben: Sobald die Entscheidung getroffen wurde, dass das Privacy Shield ungültig ist, müssen sich Unternehmen auch daran halten. Es ist jedoch wahrscheinlich, dass Datenschutzbehörden sich der Fairness halber mit Geldstrafen zunächst einmal zurückhalten werden und Unternehmen die Chance bieten in einem angemessenen Tempo auf diese Änderung zu reagieren.

Teilen Sie diesen Artikel

Teilen

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter
In unserem kostenlosen Webinar beleuchten die Datenschutzexpertin Lisa Hofmann und Marketingexpertin Ksenija Rohrkamp häufige Fragen rund um das Thema datenschutzkonformer Cookie Einsatz: Wie muss ein Cookie Banner aussehen und was muss er beinhalten? Was bedeutet das aktuelle BGH-Urteil im Fall “Planet49” für Webseitenbetreiber? Was ist der Unterschied zwischen einem Cookie Hinweis und einer Einwilligung? Und wie optimieren Sie Ihr Cookie Banner um Webseitenbesucher nicht abzuschrecken? >> Mehr erfahren

Dieser Artikel wurde geschrieben von:

Lisa Hofmann

TÜV lizenzierte Datenschutzbeauftragte

Lisa ist als TÜV zertifizierte Datenschutzbeauftragte bei Pridatect für die Produktentwicklung der internationalen Datenschutzplattform zuständig. Als studierte Juristin, hat sie über 6 Jahre in diversen Unternehmen Datenschutzprogramme als interne Datenschutzbeauftragte implementiert und verantwortet. Sie ist leidenschaftlich daran interessiert Datensicherheit durch innovative technische Lösungen jedem Unternehmen einfach zugänglich zu machen.

Newsletter

Möchten Sie regelmäßig Neuigkeiten zu Datenschutz und DSGVO erhalten? Abonnieren Sie unseren Newsletter und wir senden Ihnen als erstes neue Blog Artikel, Webinare und Ebooks zu.

Ähnliche Artikel