skip to Main Content

EU-US-Datenschutzvereinbarung „Privacy Shield“ ungültig

Der Europäische Gerichtshof hat heute Morgen die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA gekippt. Dies war die informelle Absprache auf dem Gebiet des Datenschutzrechts, die zwischen der Europäischen Union und der USA ausgehandelt wurde. Die Absprache regelte den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen wurden. Eine Datenübertragung in die USA und andere Staaten ist aber weiterhin auf Grundlage der sog. EU-Standardvertragsklauseln möglich. Diese bieten Garantien dafür, dass bei der Übermittlung von Daten das europäische Datenschutzniveau eingehalten wird.

Auch das „Privacy Shield“ hat Standards für den Umgang mit europäischen Daten in den USA festgelegt. Die Unternehmen, die ihre Datenübertragung darauf gestützt haben, stehen jedoch nun vor dem Problem, dass diese mit dem Wegfall des Privacy Shields unzulässig geworden ist. Diese Unternehmen müssen jetzt also nach Alternativen suchen. In Betracht kommt entweder die Nutzung von o.g. EU- Standardvertragsklauseln oder der Wechsel zu Dienstleistern und Rechenzentren ausschließlich in Europa oder in Staaten mit einem angemessenen Datenschutzniveau. Bei Verstößen gegen die DSGVO kann es jedenfalls teuer werden, wie einige Fälle bereits gezeigt haben. Es drohen Geldbußen von bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens, wenn man Daten ohne angemessenes Datenschutzniveau in ein Drittland übermittelt.

Der österreichische Datenschutzaktivist Max Schrems hatte in diesem Fall beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Denn dort ist Facebook dazu verpflichtet, den US-Behörden (z.B. FBI, NSA) Zugang zu den Daten zu gewähren – und das ohne richterlichen Beschluss oder die Möglichkeit der betroffenen Personen dagegen vorzugehen. Der Rechtsschutz ist für die betroffenen Personen daher unzureichend. Aufgrund dieser Zugriffsmöglichkeiten ist nach Ansicht der Luxemburger Richter der Datenschutz nicht gewährleistet und erklärte dem EU-US Privacy Shield eine Absage.

Unternehmen müssen nun dringend handeln und entweder die Datenverarbeitung mit ehemals Privacy Shield zertifizierten Unternehmen einstellen oder mit diesen unverzüglich EU-Standardvertragsklauseln schließen.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

 

EU-US-Datenschutzvereinbarung „Privacy Shield“ ungültig

Back To Top