EuGH kippt Privacy-Shield und was das für Unternehmen bedeutet.

Am 16.07.2020 hat der Europäische Gerichtshof (EuGH) ein wegweisendes Urteil im Bezug auf den Datenaustausch zwischen der EU und den USA getroffen. Im sogenannten Schrems II Urteil (Az. C-311/18Az. C-311/18) hatte der EuGH zu prüfen, ob der sog. Pivacy-Shield (zuvor Safe-Harbour-Abkommen) tatsächlich ein angemessenes Schutzniveu im Sinne der DS-GVO bietet.

Das Problem des Datenexports unter der DS-GVO

Seit Mai 2018 ist die DS-GVO nun in Kraft. Sie soll ein besonderes Schutzniveu für Daten der EU-Bürger und überhaupt bei Datenverarbeitungen im Gebiet der EU herstellen und gewährleisten. Im internationalen Vergleich bietet die DS-GVO dabei ein durchaus überdurchschnittliches Schutzniveau. Jedoch liegt genau hier ein Problem der DS-GVO: sobald in der EU verarbeitete Daten diese verlassen, sind sie in der Regel weniger gut geschützt. Dieses Problem besteht auch im Datenaustausch mit den USA. Das dortige Datenschutzrecht knüpft nicht an die Verarbeitung von Daten an, sondern an den Status des betroffenen Bürgers. Daten von US-Bürgern sind daher besonders geschützt. Daten von EU-Bürgern hingegen so gut wie nicht. Stark verallgemeinert kann z.B. der US-Geheimdienst daher Facebook- oder Amazon-Daten von EU-Bürgern ohne gerichtlichen Beschluss nach Belieben durchforsten. Nach der DS-GVO müsste ein Datenexport in die USA daher untersagt sein. Dort herrscht eben gerade kein „angemessenes Schutzniveau“.

Der Privacy-Shield als vermeintliche Lösung

Mit dem Privacy-Shield (zuvor Safe-Harbour-Abkommen) hat die Politik ein Abkommen geschaffen, welches das Schutzniveau des Datenaustauschs zwischen den USA und der EU auf ein „angemessenes Niveau“ quasi festlegt, indem es zahlreiche Regelungen aufstellt, die beim Datenaustausch zu beachten sind.
Auf Grundlage dieses Abkommens soll ein Datenaustausch grundsätzlich möglich sein. Einer besonderen Einwilligung der EU-Bürger bedarf es daher nicht. Auch dann nicht, wenn Sie keinerlei Kenntnis vom Datenaustausch haben, weil ihr Vertragspartner in der EU sitzt (so z.B. bei Käufen auf Amazon.de, bei denen die Niederlassung in Luxemburg regelmäßig Vertragspartner wird).

Die Entscheidung des EuGH

Der EuGH hat nun geurteilt, dass der Privacy-Shield gerade nicht in der Lage ist, ein angemessenes Schutzniveau herzustellen. Demnach ist aber auch ein Datenexport in die USA fortan unzulässig. Eine Hintertür hat der EuGH jedoch offen gelassen: Standardklauseln. Also vertragliche Abreden zwischen den Betroffenen. Zudem spricht gegen ein Datenaustausch dann nichts, wenn derjenige dessen Daten betroffen sind, in den Export einwilligt.

Weitreichende Bedeutung insbesondere für Unternehmen

Für Verbraucher bedeutet das Urteil zunächst mehr Datensicherheit. Die Unternehmen dürfen bei der Verarbeitung von Daten sich nicht länger pauschal auf den Privacy-Shield verlassen. Vielmehr werden vertragliche Abreden erforderlich, bis die Politik hier nachlegt.

Und genau hier liegt die Problematik für Unternehmen. Diese müssen Ihre aktuellen Datenverarbeitungsprozesse prüfen und einen eventuellen Datenaustausch mit den USA genau prüfen. Dies betrifft nicht nur die Unternehmenswebseite, an die Tools wie MailChimp oder Google Analytics angebunden ist. Sondern auch die Nutzung von Cloud-Diensten und Social Media.

Hierbei können Sie auf unsere Unterstützung zählen. Wir prüfen ihre Datenverarbeitungsprozesse hinsichtlich rechtlicher Fallstricke und erarbeiten tragfähige Lösungen. Sprechen Sie uns an!

Sie haben Fragen, oder möchten eine Beratungstermin vereinbaren?

Sie wünschen ein persönliches Beratungsgespräch, oder lediglich Vorabinformationen? Dann mailen Sie uns, oder rufen uns an. Wir freuen uns auf Ihre Anfrage.

Über den Autor
Mario Winzek
Mario Winzek

Nach Studium und Referendariat in Würzburg und Heilbronn ist Herr Winzek seit 2020 Rechtsanwalt mit Schwerpunkt im IT-Recht sowie Bau- und Architektenrecht.

Mehr erfahren