open search
close
Datenschutz Neueste Beiträge

Ende für Privacy Shield: Karten für transatlantische Datenübermittlung neu gemischt

Print Friendly, PDF & Email

Nachdem der EuGH das Safe Harbour-Abkommen im Jahr 2015 für unwirksam erklärt hatte, schlossen die USA und die EU kurz darauf das sog. Privacy Shield-Abkommen, wonach die Übertragung von personenbezogenen Daten von der EU in die USA nunmehr rechtssicher geregelt werden sollte. Das Abkommen wurde von einigen Datenschutzexperten von Beginn an kritisiert, da es – in gleichem Maße wie das Safe Harbour-Abkommen – keine sichere Grundlage für eine transatlantische Datenübermittlung bieten würde. Der EuGH sieht das offenbar genauso.

Worum geht es in der Entscheidung?

Das aktuelle Urteil des EuGH (hier geht’s zur Pressemitteilung) geht – wie bereits die Entscheidung über das Safe Harbour-Abkommen – zurück auf eine Beschwerde des österreichischen Juristen und Netzaktivisten Max Schrems. Dieser sieht in der Übertragung seiner Facebook-Daten von Irland in die USA einen Verstoß gegen europäisches Datenschutzrecht, da Facebook in den USA nicht dasselbe Schutzniveau für seine Nutzerdaten gewährleisten könne wie in der EU. Dies liege insbesondere an den weitreichenden Eingriffsrechten, die US-Behörden (z.B. FBI und NSA) gegenüber Unternehmen mit Blick auf persönliche Daten von Nutzern bzw. Kunden durchsetzen können. Das Gericht hat in diesem Zusammenhang das Privacy Shield-Abkommen zwischen der EU und den USA für unwirksam erklärt. Eine Datenübermittlung auf Basis sogenannter Standardvertragsklauseln hat es dagegen dem Grunde nach für wirksam erachtet.

Datenübermittlung EU/USA: Privacy Shield versus Standardvertragsklauseln

Bei der Datenübermittlung zwischen der EU und den USA gibt es unterschiedliche Wege, um den Erfordernissen der strengen Datenschutzvorschriften der EU zu genügen. Zum einen ist es möglich, sogenannte Standardvertragsklauseln zu vereinbaren, die von der europäischen Kommission mit Beschluss 2010/87 zur Verfügung gestellt wurden. Diese Klauseln regeln die Rechte und Pflichten des Datenexporteurs in der EU sowie des Datenimporteurs in den USA und beinhalten durchsetzbare Rechte und wirksame Rechtsbehelfe zugunsten der betroffenen Person. Demgegenüber konnten sich bis zuletzt Unternehmen zur wirksamen Datenübertragung auch dem Privacy Shield unterwerfen: Im Wege einer Selbstzertifizierung verpflichten sich hierbei Unternehmen zur Einhaltung der Regelungen des Privacy Shield-Abkommens, welche die rechtskonforme Übermittlung von personenbezogenen Daten aus der EU in die USA betreffen. Der EuGH kam nun aber zu dem Ergebnis, dass das Privacy Shield-Abkommen den Anforderungen der DSGVO nicht genügt. Nach Ansicht der Richter räumt das Abkommen den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang ein, sodass beispielsweise US-Behörden auf personenbezogene Daten zugreifen und diese verwenden können. Mit Blick auf das vom Unionsrecht verlangte vergleichbare Schutzniveau des Drittstaates, in welchen die personenbezogenen Daten übermittelt werden, hat der Gerichtshof dem Abkommen daher eine Absage erteilt.

Bleibt Weg über Standardvertragsklauseln möglich?

Im gleichen Atemzug haben die Richter die Möglichkeit der Nutzung von Standardvertragsklauseln zur rechtmäßigen Übermittlung von personenbezogenen Daten in die USA weiterhin für möglich erachtet. Allerdings macht der Gerichtshof hierbei eine wesentliche Einschränkung: In der Praxis muss gewährleistet sein, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und die Übermittlung auf Grundlage der Standardvertragsklauseln ausgesetzt oder verboten wird, sofern gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Aus der Pressemitteilung geht hervor, dass die Richter diese Einschränkung bei der Verwendung von Standardvertragsklauseln allgemein (und nicht konkret für die transatlantische Datenübermittlung) heranziehen. Wenn die grundsätzlich datenschutzkonformen Standardvertragsklauseln nun die Übertragung von Daten in die USA regeln, stellt sich aber unweigerlich die Frage, wie der Datentransfer als rechtskonform eingestuft werden kann. Denn der EuGH ist in der vorliegenden Entscheidung schließlich zu dem Ergebnis gekommen ist, dass das US-Rechtssystem Zugriffsmöglichkeiten von US-Behörden auf personenbezogene Daten vorsieht, wodurch in den USA kein vergleichbares Schutzniveau wie in der EU gewährleistet ist.

Bedeutung für die Praxis und Aussicht

Unternehmen, die Daten zwischen der EU und den USA austauschen, können sich nach der vorliegenden Entscheidung des EuGH eindeutig nicht mehr auf das Privacy Shield-Abkommen berufen. Verstößt der transatlantische Datentransfer aber auch bei Verwendung von Standardvertragsklauseln gegen EU-Recht? Hier ist die Entscheidung weniger eindeutig. Dem Grunde nach seien die Klauseln weiterhin ein Weg zur rechtkonformen Übertragung von Daten in Drittstaaten. Ungeklärt ist jedoch, ob die Datenübertragung über Standardvertragsklauseln auch in die USA möglich bleiben soll. Es bleibt abzuwarten, inwieweit Datenschutzbehörden die konkrete Verwendung von Standardvertragsklauseln mit US-Unternehmen (insbesondere mit Blick auf das vergleichbare Schutzniveau) bewerten und in Zukunft den Datentransfer in die USA stärker beaufsichtigen. Unter Berücksichtigung der weitreichenden Eingriffsmöglichkeiten von US-Behörden in personenbezogene Daten von Unternehmen stellt sich darüber hinaus die Frage, ob der EuGH Standardvertragsklauseln bei Übertragung von Daten in die USA auch in zukünftigen Entscheidungen für wirksam erachtet.

11 beiträge

Alexander Steven




Alexander Steven unterstützt vor allem bei Kündigungsschutzverfahren, in der Gestaltung von Anstellungs-, Aufhebungs- und Abwicklungsverträgen sowie in der Beratung zu betriebsverfassungsrechtlichen Fragen.
Verwandte Beiträge
Datenschutz Neueste Beiträge

Übermittlung von Beschäftigtendaten ins Nicht-EU-Ausland – was Arbeitgeber jetzt beachten müssen

Um Mitarbeiter aus dem Homeoffice beschäftigen zu können, setzen viele Unternehmen auf die Dienstleistungen von Cloudanbietern. Ausgeklammert wird dabei häufig, dass diese Anbieter ihre Daten auch in Nicht-EU-Ländern speichern. Trotzdem muss die Datenspeicherung auf einem der EU gleichwertigen Schutzniveau erfolgen. Nun haben die Aufsichtsbehörden angekündigt, eine koordinierte Prüfung internationaler Datentransfers durchzuführen. Zeit, das Thema unter die Lupe zu nehmen. Der Wunsch nach einer reibungslosen Kommunikation…
Datenschutz Neueste Beiträge

Rechtsprechung zum Datenschutz – nicht immer unerfreulich!

Nicht jeder Verstoß des Arbeitgebers gegen Datenschutzrecht löst einen Schadensersatzanspruch des Arbeitnehmers aus. Voraussetzung sei, dass der geltend gemachte Schaden dem Verstoß auch zugeordnet werden kann. Dies meint das LAG Baden-Württemberg und sieht zudem betriebliche Gestaltungsmöglichkeiten. Die Datenschutzgrundverordnung (DSGVO) ist eine „Spielwiese“ bei arbeitsrechtlichen Auseinandersetzungen geworden. Die neuen Ansprüche von Arbeitnehmern auf Auskunft, Löschung oder Schadensersatz werden zunehmend – meist taktisch – eingesetzt. Dies missfällt…
Datenschutz Neueste Beiträge

Führt Datenschutz zu Tatenschutz?

Kann die Einhaltung von datenschutzrechtlichen Bestimmungen durch den Arbeitgeber interne Ermittlungen im Unternehmen beeinflussen? Der Dieselskandal oder der Wirbel bei der Bild um Julian Reichelt zeigen die Bedeutung von internen Untersuchungen, sog. Internal Investigation. Sie sind ein wichtiges Instrument, um in Unternehmen dem Verdacht arbeitsvertraglicher Pflichtverstöße nachzugehen und Missstände aufzudecken. Sollen Aufklärungs- und Ermittlungsmaßnahmen effektiv und erfolgsversprechend sein, führt typischerweise kein Weg an einer datenintensiven…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.