Bundesweit kostenfreie Erstberatung per Telefon und E-Mail Erstberatung:
 info@jurando.de  0800 18 272 00

EuGH kippt das Privacy - Shield - Abkommen

Die transatlantische Datenübermittlung   

EuGH kippt das Privacy-Shield Abkommen - Wie geht es mit dem Datentransfer aus der EU in die USA weiter?

Das Urteil des EuGH vom 16.07.2020 in der Rechtssache C-311/18 verändert alles. Das Privacy-Shield-Abkommen zwischen der EU und den USA ist nun offiziell ungültig. Ab sofort ist es US- Unternehmen wie Facebook, Apple, Google, Microsoft nicht mehr erlaubt personenbezogene Daten von EU- Bürgern unter Berufung auf das bisher geltende US-EU Datendeal- Abkommen "Privacy-Shield" zu empfangen und zu verarbeiten.

EuGH kippt Datenabkommen Privacy-Shield
Quelle: Quelle: peterschreiber.media - istockphoto.com

Mit Urteil vom 16.07.2020 hat der EuGH über den Datentransfer von personenbezogenen Daten aus der EU in die USA entschieden

Der EuGH hat nun offiziell die Privacy-Shield-Verordnung zwischen der EU und den USA gekippt. Ins Rollen gebracht hatte die Entscheidung letztlich der Datenschutz- AKtivist Max Schrems, der bei der irischen Datenschutzbehörde beanstandet hatte, dass Facebook Irland personenbezogene Daten seiner Nutzer an den Mutterkonzern in die USA weiterleitet ohne hierrüber zu informieren.

Die bisher geltende Privacy-Shield-Verordnung: Sinn und Zweck

Bis gestern war der Export von Informationen und personenbezogenen Daten aus der Europäischen Union in die USA, auf Basis des sogenannten Privacy-Shield-Abkommens uneingeschränkt möglich. US-Unternehmen konnten sich in öffentliche Verzeichnisse eintragen und so bestätigen, dass sie den europäischen Schutzvorschriften der DS-GVO sowie den europäischen Datenschutzstandards entsprechen und die dort enthaltenen Vorgaben umsetzen. Wer sich in diesem Verzeichnis  hat eintragen lassen durfte personenbezogene Daten und Informationen von EU- Bürgern empfangen und verarbeiten. Insbesondere große und namentlich bekannten US- Konzerne wie beispielsweise Facebook, Apple, Microsoft, Google, Amazon, WhatsApp waren auf dieser Liste zu finden und proftierten von einem unkomplizierten Informationsexport im Wege des transatlantischen Datenverkehrs. Aber nicht nur US- Unternehmen haben sich dem Privacy-Shield (übersetzt: "Datenschutz-Schild")-Abkommen verschrieben.

Auch Unternehmen aus Europa wie beispielsweise SAP, Siemens, Telefonica und Aldi haben sich in die Verzeichnisse eintragen lassen und so an der Datenübermittlung in die USA teilnehmen können.

Die wesentlichen Aspekte der Urteilsbegründung

Was relativ einfach und unproblematisch erscheint, ist nach Auffassung des EuGH datenschutzrechtlich aber ganz und gar nicht unbedenklich. Der EuGH führt in seiner Urteilsbegründung aus, dass der strenge europäische Datenschutz den Transfer personenbezogener Daten von EU- Bürgern in ein Nicht-EU-Land ausschließlich dann erlaubt, wenn die Daten in diesem Land ebenfalls im Sinne des europäischen Datenschutzes geschützt werden. Zwar hätte die USA auf Grundlage des Privacy-Shield-Abkommens eine Überwachungsgarantie für die übermittelten Daten übernommen, jedoch sei diese Garantie zu weitreichend. Ein angemessener Schutz der personenbezogenen Daten von Bürgern aus der europäischen Union könne hierdurch nicht gewährleistet werden, so der EuGH.

Auch die durch die EU-Kommission, auf Seiten der USA eingestellte Person des Ombudsmannes, an die sich EU-Bürger im Falle einer Verletzung ihrer Privatssphäre durch ein US-Unternehmen wenden sollten, sei nicht unabhängig genug. Es könne nicht zweifelsfrei festgestellt werden, ob tatsächlich alle veremintlichen Verstöße im Umgang mit Daten von EU-Bürgern ausreichend bearbeitet werden.  Die Privacy-Shield-Verordnung biete keine ausreichende Gewähr dafür, dass die europäischen datenschutzrechtlichen Standards und Vorgaben, bei der Verarbeitung von personenbezogenen Daten von US-Unternehmen auch tatsächlich eingehalten werden. 

Der EuGH kam daher zu der Entscheidung, die Privacy-Shield-Verordnung insgesamt für ungültig zu erklären und vollständig zu kippen.

Auswirkungen des Urteils auf den zukünftigen transatlantischen Datenverkehr

Doch welche Auswirkungen hat das Urteil auf die zukünftige Übermittlung personenbezogener Daten von Bürgern der EU in die USA?

Derzeit ist der transatlantische Datenaustausch aufgrund der sogenannten Standardvertragsklauseln zulässig. Diese bieten eine ausreichende Garantie dafür, dass Daten europäischer Bürger bei der Übermittlung ausreichend geschützt werden. Der EuGH hat die entsprechenden Klauseln dann für zulässig erklärt, wenn der Datenschutz in dem Nicht-EU-Land gewährleistet sei. Ob dies im Falle der USA und insbesondere bei den großen US-amerikanischen Techkonzernen wie Facebook und Google tatsächlich der Fall ist scheint jedoch fraglich. Allein die Enthüllungen von Edward Snowden haben aufgezeigt, dass die NSA umfangreiche Datensätze von Facebook abgreifen und verarbeiten kann (und dies auch machen), ohne das Nutzer hiervon etwas merken. 

Ohne das Privacy-Shield-Abkommen gibt es jetzt jedoch praktisch keine Möglichkeit mehr, Daten legal von der EU in die USA zu übertragen.

Eine solche Datenübermittlung darf nach Maßgabe des EuGH nunmehr nur noch dann stattfinden, wenn eine umfassende Prüfung ergibt, dass der jeweilige US-Konzern, an den die Daten übermittelt werden sollen, die strengen europäischen Datenschutzvorgaben implementiert und einhält. Erst wenn die Unternehmen dies nachweisbar garantieren können, dürfen die personenbezogenen Daten an sie übermittelt und letztlich durch sie verarbeitet werden. Wie dies umgesetzt werden soll und wie ein solcher Nachweis erbracht werden kann, bleibt abzuwarten.

Was bedeutet das Urteil des EuGH für Privatperson?

Für Sie als Privatperson hat das Kippen der Privacy-Shield-Verordnung grundsätzlich keine direkten Auswirkungen. Sind sind beispielsweise Nutzer der US-Konzerne Facebook, WhatsApp oder Amazon, so können Sie, indem Sie auf einer amerikanischen Website surfen, weiterhin frei entscheiden, ob und welche personenbezogenen Daten Sie an das US-Unternehmen übertragen wollen. 

Für den Fall, dass Sie sich beispielsweise als EU-Bürger in Amerika befinden und vor Ort ein Hotel buchen, so darf dieses Hotel Ihre personenbezogenen Daten ganz normal erfassen und verarbeiten. Unternehmen in den USA drüfen auch nach der Abschaffung des US-EU-Datendeals (Privacy-Shield-Abkommen) personenbezogene Daten, die in den USA direkt erfasst werden, verarbeiten. Nur die Übermittlung von Daten europäischer Bürger in die USA durch Firmen im Hintergrund, ist jetzt verboten. 

Was droht bei Verstößen?

Für den Fall, dass personenbezogene Daten von EU-Bürgern trotz der Entscheidung des EuGH, auch weiterhin auf Grundlage des Privacy-Shield-Abkommens an ein US-Konzern übermittelt werden, drohen Bußgelder in Höhe von bis zu 20 Millionen Euro bzw. in Höhe von bis zu 4 % des Jahresumsatzes. Dies führt bei Weltunternehmen wie Facebook, Apple, Google udn Amazon zu einer nicht unerheblichen Summe.

Sprechen Sie uns an

Falls Ihr Unternehmen personenbezogene Daten von Mitarbeitern und/ oder Kunden in die USA übermittelt und dies bislang auf Grundlage des Privacy-Shield-Abkommens vorgenommen wurde, dann sprechen Sie uns an. Wir geben Ihnen gerne weitere Informationen zu der aktuellen Entwicklung im Bereich der transatlantischen Datenübermittlung und beraten Sie dahingehend, was Sie nunmehr zu beachten haben.

>> Unsere Leistungen als Datenschutzbeauftragter >> Demo-Schulung zur DSGVO starten (Dauer: 20min.)
Die transatlantische Datenübermittlung

Dr. Dennis Werner

Fachanwalt für IT-Recht
TÜV-zertifizierter Datenschutz­beauftragter

EuGH kippt Datenabkommen Privacy-Shield

Fragen zum Datenschutz?

Rufen Sie uns an
0800 18 272 00
Oder schreiben Sie uns
info@jurando.de
Wie wir Sie im Datenschutz unterstützen,
erfahren Sie im Video.

Datenschutzlösungen im Vergleich

Kein Datenschutz­beauftragter Trotz Verpflichtung
  • Kein Datenschutz­beauftragter
  • Bußgelder bis 10 Mio. € auch gegenüber kleinen Unternehmen
  • Abmahnrisiko durch Mitbewerber
  • Haftung der Geschäftsführung
  • Reputationsverlust bei Geschäftspartnern
Klassischer Datenschutz­beauftragter Interner/Externer DSB vor Ort
  • Interner o. externer Datenschutz­beauftragter
  • Ansprechpartner bei allen Fragen zum Datenschutz
  • Keine moderne Softwarelösung
  • Meist höhere Kosten durch Vor-Ort-Schulungen
  • Interner DSB: Arbeitsrechtlicher Kündigungsschutz
  • Interner DSB: Zeit- und kostenaufwendige Aus-/Fortbildung
Digitaler Datenschutz­beauftragter Die Jurando-Lösung
  • Externer Datenschutz­beauftragter
  • Ansprechpartner bei allen Fragen zum Datenschutz
  • Minimaler eigener Zeitaufwand
  • Keine kostenintensiven Vor-Ort-Termine erforderlich
  • Datenschutz-Management-Software automatisiert Prozesse
  • Ständig aktuelles Datenschutz-Management-Handbuch
  • E-Learning zur Mitarbeiter­schulung

Kundenmeinungen

„Wir sind ein kleiner Betrieb, hatten mit Datenschutz bisher wenig zu tun. Die Mitarbeiter von Jurando GmbH haben uns bei den ersten Schritten geholfen und uns kompetent bei der Umsetzung der neuen Pflichten unterstützt.“

Christian K.

„Das Team von Jurando hat mich schnell mit einem Sofort-Maßnahmen-Paket zur Aktualisierung meiner Datenschutzerklärung unterstützt. Mein Ansprechpartner war gut erreichbar. Deshalb: 5 Sterne!“

Michael S.

„Ich bin viel zu spät auf die Datenschutzverordnung aufmerksam geworden. Zum Glück habe ich noch jurando gefunden, die mich kurzfristig bei der Umsetzung der wichtigsten Verpflichtungen unterstützt hat.“

Dieter W.

„Da wir über 10 Mitarbeiter sind, mussten wir im Mai den neuen Datenschutz befolgen. Wir sind dann im Web auf dieses Angebot gekommen und wurden in mehreren persönlichen Gesprächen gut von Dr. Werner unterstützt“

Ardian F.

„Bei uns war ein Datenschutzbeauftragter erforderlich. Den haben wir hier unkompliziert gefunden. Bisher alles gut.“

Daniel T.

„Als Arztpraxis hatte man uns auf die DSGVO aufmerksam gemacht. Ich bin dann bei ihrer Veranstaltung im Kulturhaus gewesen. Gut, dass wir in unserer Nähe einen Datenschutzbeauftragten als Ansprechpartner gefunden haben.“

Matthias H.

JURANDO GmbH hat 4,92 von 5 Sternen | 34 Bewertungen auf ProvenExpert.com
Externer Datenschutzbeauftragter (DSGVO & Datenschutz-Management-Software)
Erfahrungen & Bewertungen zu JURANDO GmbH