Es gibt wieder Neuigkeiten in Sachen Datenschutz. Der Europäische Gerichtshof hat mit seinem heutigen Urteil (vom 16.07.2020) die EU-US Datenschutzvereinbarung „Privacy-Shield“ für ungültig erklärt.
Nachdem bereits 2015 das Safe-Harbor-Abkommen durch den EuGH für unwirksam erklärt worden war, hat die EU mit den USA das Privacy Shield vereinbart. Dieses sollte Nachfolger des Safe-Harbor Abkommens sein und die Grundlage für die datenschutzkonforme Übertragung personenbezogener Daten in die USA bilden. Jetzt hat der EuGH auch diesem Abkommen wieder eine Abfuhr erteilt.
Das Gericht erklärte zudem den Beschluss 2010/87 der Kommission (über die „Standardvertragsklauseln“ für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländer wie etwa die USA) dagegen für gültig und wirksam.
Dieses neue Urteil des EuGH betrifft alle Übertragungen von personenbezogenen Daten in die USA, die bisher durch Privacy Shield abgedeckt waren. Denkbar sind hier beispielhaft Daten im Rahmen von Paymentdienstleistungen, Hosting oder aber auch verschiedene Plugins oder Webseitenanalysetools.
Den Webseitenbetreiber oder Onlinehändler trifft jetzt die Frage, wie er noch die Rechtmäßigkeit der Datenübertragung sicher stellen kann, da die Übertragung aufgrund des Privacy Shield nun nicht mehr zulässig ist.
Nach wie vor bleibt die Übertragung von Daten aufgrund einer wirksamen Einwilligung durch den Betroffenen Nutzer. Problematisch an der Einwilligung ist jedoch, dass diese für ihre Wirksamkeit unter anderem „informiert“ erfolgen muss. Es muss also im Vorfeld eine Aufklärung des Betroffenen über das konkrete Risiko der Übermittlung seiner Daten in ein Drittland erfolgt sein, wenn diese nicht über ein adäquates Schutzniveau verfügt. Diese Aufklärung muss einen bestimmten Inhalt aufweisen, wie etwa die Mitteilung über den Empfänger, den Zielort, dortige Verarbeitungsvorgänge etc. Diese Informationen zu erhalten, ist meistens bereits so gut wie unmöglich.
Ferner kann auch die sog. „Erforderlichkeit zur Vertragsabwicklung“ die Übermittlung von Daten rechtfertigen.
Ein weitere, jedoch nicht echte, Alternative bilden die „Binding Corporate Rules“. Hier handelt es sich um verbindliche interne Datenschutzvereinbarungen, die den unternehmensinternen Umgang mit personenbezogenen Daten von Kunden und/oder Mitarbeitern regeln. Da diese sehr aufwendig (auch finanziell) sind und mit Datenschutzbehörden gemeinsam ausgearbeitet werden, sind Binding Corporate Rules für kleine Webseitenbetreiber und Onlinehändler eher irrelevant.
Zu guter Letzt können in Verträge mit US-Unternehmen die durch den EuGH ausdrücklich als zulässig erachteten Standardvertragsklauseln eingebracht werden. Hierdurch kann auch ein Mindeststandard im Datenschutz gewährleistet werden. Angesichts der jetzt akut vorliegenden Entscheidung stellt dies eher langfristig eine Lösungsmöglichkeit dar.
Zusammenfassend ist festzustellen, dass leider derzeit für die aktuelle Lage keine echte Lösungsmöglichkeit vorliegt, die kurzfristig umsetzbar wäre.
Aufgrund dieser Entscheidung des EuGH ist plötzlich im Prinzip fast der komplette Datentransfer personenbezogener Daten an US-server oder US-Firmen datenschutzrechtswidrig geworden.
Dementsprechend sind auch Sanktionen von nun an möglich.
Die künftige Entwicklung ist kaum absehbar. Wir erhoffen und erwarten seitens der Datenschutzbehörden baldige Unterstützung.
Wenn Sie also auf Nummer sicher gehen möchten, bleibt Ihnen zunächst nur die Unterbindung von Datentransfer personenbezogener Daten in die USA, bis das weitere Vorgehen geklärt ist. Es ist natürlich denkbar, dass ein weiteres Nachfolgeabkommen getroffen wird, wann und wie dies jedoch der Fall sein kann, ist nicht bekannt.
Den Volltext der Entscheidung können Sie unter folgendem Link nachlesen: http://curia.europa.eu/juris/documents.jsf?num=C-311/18