blind justiceDer Europäische Gerichtshof hat heute morgen den Privacy Shield-Beschluss 2016/1250 der Europäischen Kommission für ungültig erklärt (Pressemitteilung / Urteil).

Datenübermittlungen in die USA, die sich zur Gewährleistung des erforderlichen angemessenen Datenschutz-Niveaus ausschließlich auf dieses Abkommen der EU mit den USA stützen, müssen daher eingestellt werden.

Nicht für ungültig erklärt hat der Gerichtshof dagegen die Gewährleistung des Datenschutzes durch die von der Kommission bereitgestellten  EU-Standard-Vertragsklauseln. Diese können also weiterhin als Grundlage für Datenübermittlungen in die USA dienen.

Allerdings ist bei Anwendung der Standard-Vertragsklauseln für jeden Datenexport in ein Drittland zu untersuchen, ob der Empfänger die Zusicherungen der Vertragsklauseln wirklich einhält bzw. überhaupt einhalten kann. Letzteres kann ausgeschlossen sein,  wenn ein Unternehmen infolge des Rechts des jeweiligen Staates trotz der Vertragsbindung die Daten nicht angemessen schützen kann, weil zum Beispiel Behörde ohne ausreichende rechtliche Begrenzungen und Rechtsmittel Betroffener auf Daten aus der EU zugreifen können, EU-Bürger also keinen ausreichenden Schutz gegen solche Zugriffe haben. Das ist in den USA kritisch, da der dortige Datenschutz im Ansatz nur für US-Bürger gilt und unter anderem die NSA, aber auch andere Behörden in den USA,  infolgedessen massenhaft und nahezu ohne rechtliche Grenzen auf Daten von Ausländern bei US-Unternehmen zugreifen. Letzteres gilt auch für Daten, die US-Unternehmen in der EU speichern, aber ohne Weiteres abrufen können.

Betroffene Unternehmen müssen also ihre Datenflüsse ins Nicht-EU-Ausland detailliert überprüfen.

Insbesondere bei den wichtigen US-Datenverarbeitern müssen Sie leider damit rechnen, dass auch die Standard-Vertragsklauseln auf Dauer keine ausreichende Grundlage bieten, wenn die USA insofern nicht einlenken und ihr Recht ändern. Einschlägige Verbände zum Datenschutz wie GDD, der Datenschutzbeauftragten wie der BvD sowie der Industrie wie Bitkom oder BVDW rufen bereits nach einem neuen Abkommen der USA mit der EU, das nach dem Scheitern von Safe Harbour und Privacy Shield die bestehenden Probleme wirklich löst. Das amerikanische Handelsministerium überprüft Anpassungen und betont, dass das  Privacy-Shield-Abkommen als solches noch nicht ausgesetzt sei. Die Bereitschaft der USA, das eigene Datenschutzrecht auf Ausländer anzuwenden und EU-Datenschutzstandards zu respektieren, war bisher jedoch nicht allzu groß.

Kommt es zu keiner Lösung, könnten Unternehmen mit Datenaustausch in die USA die Leidtragenden sein: Sie müssen trotz Anwendung der Standard-Vertragsklauseln jederzeit mit Untersagungen und Bussgeldern durch die Datenschutzbehörden rechnen, wenn diese im Einzelfall  zu der Auffassung gelangen, dass die Vertragsbindung nicht ausreicht, EU-Bürger angemessen zu schützen. Es bleibt zu hoffen, dass die Datenschutzbehörden den Unternehmen Zeit geben, die Datenflüsse zu prüfen und anzupassen, und auf Bußgelder vorerst verzichten.

Ansprechpartner für Datenschutz bei NÜMANN + SIEBERT ist Rechtsanwalt Peter Nümann (Kontakt: info@nuemann-siebert.com).

Verfasser: