EuGH erschwert Datentransfers zwischen der EU und den USA
Privacy Shield gekippt _ Wer in Europa personenbezogene Daten verarbeitet, muss die strengen Vorgaben der Datenschutzgrundverordnung (DSGVO) beachten. Eine Weitergabe von Daten in Länder außerhalb der EU bedarf zusätzlicher Schutzmaßnahmen.
Die Anforderungen an diese Maßnahmen hat der Europäische Gerichtshof (EuGH) nun noch erheblich erhöht: In dem Verfahren Schrems II (Az.: C-311/18) erklärte der EuGH am 16.7.20 den Angemessenheitsbeschluss für das Privacy-Shield-Abkommen zwischen der EU und den USA für ungültig. Die Folge: Datentransfers in die USA, die allein auf das EU-US Privacy Shield gestützt werden, sind ab sofort unzulässig.
Mit einem Angemessenheitsbeschluss hatte die EU-Kommission 2016 Unternehmen in den USA, die sich nach dem Privacy Shield zertifiziert hatten, datenschutzrechtlich als sicher eingestuft. Dieser Angemessenheitsbeschluss ist nun für unwirksam erklärt worden. „Der EuGH begründet dies damit, dass es in den USA staatliche Zugriffsrechte auf Daten gibt, die nicht dem Verhältnismäßigkeitsgrundsatz nach europäischen Standards entsprechen“, erläutert Nikolaus Bertermann, Partner bei SKW Schwarz Rechtsanwälte.
Unternehmen müssen Vertragswerke nun prüfen
Der Jurist und Datenschutzaktivist Max Schrems war mit seiner Klage vor dem EuGH nicht nur gegen das Privacy Shield vorgegangen. Vielmehr hatte er auch die weit verbreiteten EU-Standardvertragsklauseln angegriffen, die Unternehmen zur Rechtfertigung des Datenaustauschs mit den USA einsetzen. „Die Standardvertragsklauseln hat der EuGH zwar nicht generell für ungültig erklärt“, so Bertermann weiter. „Er hat allerdings Unternehmen aufgegeben, zusätzlich zu prüfen, ob Verbraucher in dem Drittland tatsächlich angemessen durchsetzbare Rechte haben.“ Lässt sich dies wie in den USA nicht belegen, muss das Unternehmen zusätzliche Schutzmaßnahmen ergreifen.
Die Aufsichtsbehörden können – trotz vereinbarter EU-Standardvertragsklauseln – Datenübermittlungen aussetzen oder verbieten. „Die Entscheidung betrifft alle Unternehmen mit Konzerngesellschaften oder Dienstleistern außerhalb der EU“, betont Anwalt Bertermann. „Haben sie sich bisher allein auf das Privacy Shield berufen, so müssen sie ihren konzerninternen Datenaustausch einstellen oder auf eine neue vertragliche Basis stellen. Auf EU-Standardvertragsklauseln können sie sich nur berufen, wenn sie zusätzliche geeignete Garantien zum Schutz der Daten einführen.“
Die Aufsichtsbehörden haben in ihren ersten Stellungnahmen betont, dass es keine Umsetzungsfristen gibt. Die Entscheidung des EuGH ist sofort umzusetzen. Anbietern, die Daten in den USA verarbeiten, empfiehlt Bertermann daher zu prüfen, ob sich der Personenbezug von Daten durch Anonymisierung oder Verschlüsselung aufheben oder begrenzen lässt. „Website- und App-Betreiber können auch über Cookie-Banner versuchen, eine ausdrückliche Einwilligung in den Drittlandtransfer einzuholen“, so Bertermann. „Allerdings müssen die Nutzer dann deutlich über die dadurch entstehenden Risiken aufgeklärt werden.“
ARTIKEL DIESER AUSGABE
Frisches Geld, neuer Partner – CureVac setzt auf Rittershaus und Baker
Das Tübinger biopharmazeutische Unternehmen CureVac, einer der Hoffnungsträger bei der Suche nach einem Corona-Impfstoff, hat im Rahmen einer Privatplatzierung rd. 560 Mio. Euro eingeworben. mehr
Uniklinik Düsseldorf baut neues Corona-Zentrum mit Heuking
Falls eine zweite Corona-Welle kommt, will man in Düsseldorf vorbereitet sein. In nur wenigen Wochen soll das neue Corona-Zentrum der Uniklinik Düsseldorf (UKD) stehen. mehr
Bosch Rexroth trennt sich mit Ashurst von Filtergeschäft
Bosch Rexroth hat sich mit dem Autozulieferer Hengst auf den Verkauf seines Hydraulikfiltergeschäfts geeinigt und setzt damit künftig stärker auf Komplettlösungen. mehr
Green Finance – Klare Kriterien für mehr Transparenz
„ESG“, „Green Loans“ und „Sustainability Linked Loans“ – die Schlagwörter im Bereich der grünen Finanzierungen sind vielschichtig oder vielfach sogar undurchsichtig. Umso... mehr
Neue regulatorische Leitplanken für vernetztes Fahren
Die digitale Transformation der Automobilindustrie ist auf einen innovationsfreundlichen Rechtsrahmen angewiesen. Jüngst hat die Wirtschaftskommission der Vereinten Nationen für Europa... mehr
Heussen verstärkt sich im Gesellschaftsrecht
Zum 10.7.20 hat die Heussen Rechtsanwaltsgesellschaft ihre Beratungspraxis im Gesellschaftsrecht mit einem Neuzugang auf Partnerebene erweitert. Robert Alan Heym wechselte von Simmons... mehr
Stellmach & Bröckers baut Marktposition in Norddeutschland aus
Bereits zu Anfang Juli 2020 begrüßte die auf Sanierung und Restrukturierung spezialisierte Beratungsgesellschaft Stellmach & Bröckers einen neuen Partner im Team. mehr
Nach BGH-Urteilen – Im Internet gibt es kein absolutes „Recht auf Vergessenwerden“
Der Bundesgerichtshof (BGH) hat am 27.7.20 in zwei Fällen entschieden, dass es im Internet kein so genanntes absolutes Recht auf Vergessenwerden gibt und Suchmaschinen nicht in jedem... mehr