Ein Monat nach dem EuGH-Urteil zur Ungültigkeit des „Privacy-Shield“ – eine Aktualisierung

Gut ein Monat ist vergangen, seitdem der Europäische Gerichtshof (EuGH, Urteil vom 16.07.2020 – C-311/18 („Schrems-II“)) zum europäischen Datenschutzrecht bezüglich des Verhältnisses EU-USA geurteilt hat (Ungültigkeit des „Privacy-Shield“).

Sprechen Sie uns an – wir unterstützen Sie zunächst darin, Transparenz über ihre Datenübermittlungen zu schaffen (Copyright: peterschreiber.media/adobe.stock).

Was hat sich seitdem getan?

Die maßgeblichen europäischen Organisationen äußern sich verhalten, zitieren überwiegend Teile des Urteils des Europäischen Gerichtshofs und wägen vorsichtig Argumente in die eine oder andere Richtung.

Ähnlich die deutschen Datenschutz-Aufsichtsbehörden: Sie halten sich mit richtungsweisenden Hinweisen zurück und bejahen teils vorsichtig die weitere Sinnhaftigkeit des Einsatzes von Standardvertragsklauseln für Transfers in Drittstaaten oder lehnen diese vorsichtig ab. Die Forderung nach „zusätzlichen Schutzmaßnahmen“ wird sicherheitshalber gerne noch betont, ohne den Unternehmen mit auf den Weg zu geben, wie dies denn in der Praxis ablaufen soll. Als ob ein deutsches Unternehmen vernünftig klären könnte, ob und inwieweit das unterunterbeauftragte Hosting-Unternehmen in den USA welchen US-Auslandsaufklärungs- und Spionageabwehr-Gesetzen unterworfen ist.
Lieber wird auf die Verbreitung von Optimismus gesetzt: Man habe ja eine ähnliche Situation wie im Jahr 2015, und auch diese Phase habe man überstanden.

Damit spielen die Aufsichtsbehörden darauf an, daß bereits im Jahr 2015 der Europäische Gerichtshof auf ein Vorabentscheidungsersuchen des irischen High Court hin die sogenannte „Safe-Harbour-Entscheidung“ für ungültig erklärt hat mit der Begründung, die Vereinigten Staaten würden kein angemessenes Schutzniveau gewährleisten (EuGH, Urteil vom 06.10.2015 – C-362/14 („Schrems-I“)). Die Europäische Kommission erließ daraufhin den nun abermals für ungültig erklärten Beschluß – über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes („Privacy Shield“). 

Was bedeutet dies für Unternehmen in der Praxis?

Zu Recht herrscht bei vielen Unternehmen vor dem Hintergrund der empfindlichen Bußgeldandrohung auf der einen Seite und der mangelnden Rechtssicherheit auf der anderen Seite Sorge, was zu tun ist.

Viele IT-Anbieter, die deutsche Unternehmen wie selbstverständlich nutzen, haben ihren Sitz in den USA. Und viele europäische IT-Anbieter, auf die deutsche Unternehmen für ihr Tagesgeschäft zugreifen, haben ihre Dienstleistung zumindest in Teilen an US-Unternehmen ausgelagert.

Sie sollten in jedem Falle kurzfristig…

• Feststellen, ob und welche personenbezogenen Daten Sie – oder von Ihnen beauftragte Unternehmen und deren Unterauftragnehmer für Sie (!) – in die USA übermitteln 
• Wo möglich, das Risiko ausschließen, indem Sie bei einer anstehenden Neuverhandlung von IT-Projekten / IT-Verträgen einen Transfer in Staaten mit einem nicht-angemessenen Datenschutzstandard untersagen bzw. nur in EU-Staaten erlauben, denn diesen wird ein angemessenes Datenschutzniveau unterstellt 
• Das Risiko verringern, indem für verbleibende zwingend notwendige Übermittlungen in die USA oder andere Drittstaaten EU- Standardvertragsklauseln mit den Empfängern vereinbart werden. 

Sprechen Sie uns an – wir unterstützen Sie zunächst darin, Transparenz über ihre Datenübermittlungen zu schaffen. Auf dieser Grundlage können wir Lösungen zum Ausschluß oder zumindest zur Verminderung von Risiken entwickeln und umsetzen.