Bundesweit kostenfreie Erstberatung per Telefon und E-Mail Erstberatung:
 info@jurando.de  0800 18 272 00

Handlungsempfehlungen: Privacy-Shield-Urteil

Die Datenübermittlung in die USA nach dem „Privacy-Shield-Urteil“  

Handlungs­empfehlungen zum Privacy-Shield-Urteil und das weitere Vorgehen in Unter­nehmen

Viel muss man nicht mehr sagen, das Privacy-Shield-Urteil des EuGH vom 16.07.2020 hat für großes Aufsehen in der Unternehmensbranche gesorgt. Dennoch war die Entscheidung nicht ganz so überraschend, wie manch ein Betrachter vielleicht meint. Welche Folgen das Urteil jetzt tatsächlich hat und wie Unternehmen, die vom transatlantischen Datenaustausch jetzt am besten agieren, um Daten auch weiterhin in die USA zu übermitteln, stellen wir Ihnen dar:

Handlungsempfehlungen zum „Privacy-Shield-Urteil“ des EuGH
Quelle: © pixs:sell - adobe.stock.com

Die Entscheidung

Mit Urteil vom 16.07.2020 hat der EuGH das Privacy-Shield, also das Datenschutzschild zwischen Europa und den USA, nun endgültig für ungültig erklärt. Mit der Folge, dass die Übermittlung personenbezogener Daten in die USA, ab sofort nicht mehr rechtmäßig ist. Für den Fall, dass Unternehmen dennoch munter weiter ihre Daten in die USA übermitteln, gleichwohl in dem Wissen, dass das datenschutzrechtliche Abkommen der Privacy-Shield vollständig gekippt wurde, handelt es sich um einen Verstoß gegen die Vorschriften der DSGVO. Welcher seitens der Aufsichtsbehörden mit nicht unerheblichen Sanktionen und Bußgeldern geahndet wird.

Zwar hat das Urteil rechtlich Klarheit verschafft, für Unternehmen führt es jedoch zu einigen Problematiken und Unsicherheiten.

Wen betrifft das Urteil des EuGH?

Urteile des Europäischen Gerichtshofes haben grds. nur inter-partes Wirkung. Das bedeutet, dass die Urteile und Entscheidungen erst einmal nur für das Gericht bindend sind, welches eine Frage dem EuGH zur Entscheidung vorgelegt hat. Im Zusammenhang mit der Schrems-II- Entscheidung vom 16.07.2020 war dies ein irisches Gericht. Gleichwohl entfaltet das Urteil des EuGHs faktisch aber bereits jetzt Bindungswirkung für sämtliche Gerichte und Behörden der übrigen Mitgliedstaaten der Europäischen Union, die ebenfalls die DSGVO unter Berücksichtigung der Rechtsprechung des EuGH auslegen und anwenden (müssen). Das Privacy-Shield ist ein sog. Gemeinschaftsrechtsakt. Wird ein solcher für ungültig erklärt, dann sind an dieser Entscheidung sämtliche Gerichte und Behörden in allen Mitgliedstaaten gebunden; mit der Folge, dass auch sämtliche dem EU-Recht unterworfene Unternehmen an diese Entscheidung gebunden sind.

Allein aus diesem Grund hat das Urteil des EuGHs so weitreichende Folgen; die Entscheidung betrifft einfach gesagt: alle öffentlichen Stellen und Unternehmen, die Daten in die USA übermitteln, und sich hierbei bislang auf das Privacy-Shield gestützt haben.

Ist mein Unternehmen tatsächlich betroffen?

Diese Frage können Sie leicht beantworten, indem Sie sich die nachfolgenden - nicht abschließenden - Beispiele ansehen. Für den Fall, dass Sie in einem dieser Beispiele einen Prozess aus Ihrem Unternehmen wiedererkennen, sind Sie und Ihr Unternehmen von der "Schrems-II-Entscheidung" betroffen, und müssen sich Gedanken über ihr weiteres Vorgehen machen.

- Sie speichern Daten in einer Cloud, die von einem Unternehmen in den USA und folglich außerhallb in der EU gehostet wird?

- Sie nutzen ein Videokonferenzsystem eines US-amerikanischen Anbieters (bspw. Microsoft Teams, Zoom), der Daten der an der Konferenz teilnehmenden Person erhebt und in die USA übermittelt?

- Sie stehen nicht ausschließlich mit europäischen Unternehmen in Handelsbeziehung, sondern verfügen auch über solche, die ihren Sitz in den USA haben und tauschen mit diesen personenbezogene Daten über Kunden, wie Lieferadressen, Bestellungen, etc. oder aber sogar über Ihre Mitarbeiter und Beschäftigten aus?

Das weitere Vorgehen im Unternehmen

Für den Fall, dass Sie bzw. Ihr Unternehmen von dem Privacy-Shield- Urteil und den hiermit verbundenen Folgen betroffen sind, geben wir Ihnen nachfolgend eine kurze Handlungsempfehlung wie Sie jetzt vorzugehen haben, um auch weiterhin personenbezogene Daten von Europa in die USA datenschutzkonform übermitteln zu können:

Schritt 1

Erst einmal müssen Sie in Ihrem Unternehmen alle Anwendungen und Dienstleister ermitteln, die oder bei denen personenbezogene Daten in die USA übermittelt werden. Ratsam ist es, eine entsprechende Dokumentation zu erstellen, in der Sie auf der einen Seite die in Ihrem Unternehmen eingesetzten Dienste und Anwendungen auflisten und auf der anderen Seite eintragen, ob dieser Vertragspartner ein US-amerikanisches Unternehmen ist.  Beachten Sie bitte bei Ihrer Bestandsaufnahme, dass Sie auch Datenübermittlungen in Form von Zugriffsmöglichkeiten von privaten oder öffentlichen Stellen in Drittstaaten auf bei Ihnen vorgehaltene Daten mit einbeziehen. Es muss also nicht nur ein physischer Datenexport vorliegen.

Die Dokumentation können Sie in etwa wie folgt aufgebaut werden:

Eingesetzte(r) Anwendung/ Dienstleister US-amerikanisches Unternehmen? Ja/ Nein Übermittlung von Daten an dieses Unternehmen? Ja/ Nein 
... ... ...

Schritt 2

Haben Sie alle US-amerikanischen Vertragspartner ermittelt, müssen Sie anschließend Schritt für Schritt alle U.S. Dienstleister aus Ihrer Dokumentation durchgehen und einzeln zwei weitergehende Fragen klären:

1) Werden bei der Verwendung dieser US-amerikanischen Vertragspartner (Dienstleister und Anwendungen) personenbezogene Daten an die jeweiligen Dienstleister übermittelt bzw. werden im Falle der Nutzung dieser Dienste personenbezogene Daten in die USA übermittelt?

2) Wenn JA: auf welcher rechtlichen Erlaubnis wird die Datenübermittlung in die USA gestützt? Hierbei kommen 3 Möglichkeiten in Betracht:

• Die Datenübermittlung erfolgt auf Grundlage des Privacy-Shield-Abkommens

• es bestehen sog. Standarddatenschutzklauseln auf denen die Übermittlung gestützt werden kann

• Die Übermittlung der Daten in die USA kann parallel auf beide Rechtsgrundlagen gestützt werden

Fand in Ihrem Unternehmen die Übermittlung personenbezogener Daten lediglich auf Grundlage des Privacy-Shield-Abkommens statt, so ist Schritt 3 für Sie von besonderer Bedeutung:

Schritt 3

Überprüfen und ändern Sie die bisherige Rechtsgrundlage für die Datenübermittlung:

Manche US-amerikanische Dienstleister bieten die Möglichkeit des Abschlusses sog. Standarddatenschutzklauseln (kurz: SCC) an. Die SCC sind auch nach dem aktuellen Urteil des EuGHs weiterhin gültig. Dennoch Übermittlung von Daten in die USA auf Grundlage dieser Klauseln folglich nur unter einer Bedingung zulässig sein: Der für die Datenverarbeitung in Ihrem Unternehmen Verantwortliche im Sinne der DSGVO muss prüfen, ob die jeweiligen Empfänger der Daten auch tatsächlich das erforderliche Schutzniveau des europäischen Datenschutzes einhalten. Der Verantwortliche muss hier zusätzliche Garantien bieten.

Es müssen solche Garantien sein, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und die Rechte der Betroffenen stärken und schützen. In Betracht kommt beispielsweise die Datenverschlüsselung, die weder der US-Geheimdienst, noch andere US-Dienste brechen können, und bei der nur der Datenexporteur den Schlüssel hat. Ebenso die Anonymisierung oder Pseudonymisierung von personenbezogenen Daten, und zwar dergestalt, dass nur der Datenexporteur eine Zuordnung der Daten vornehmen kann. Der Ablauf einer solchen Prüfung und die jeweiligen Anforderungen wurden  allerdings abschließend noch nicht richterlich geklärt, so dass abzuwarten bleibt, ob die transatlantische Datenübermittlung auf Grundlage der SCC auch in naher Zukunft problemlos möglich sein wird. In seltenen Fällen werden Unternehmen tatsächlich diese Garantien und das geforderte Schutzniveau auch tatsächlich bieten können.

Die sog. Binding Corporate Rules (kurz: BCR) können als geeignete Rechtsgrundlage für die Übermittlung personenbezogener Daten in ein Drittland herangezogen werden. Hierbei handelt es sich um verbindliche interne Datenschutzbestimmungen. Ziel dieser Bestimmungen ist es, sicherzustellen, dass bei einer unternehmensinternen Datenübermittlung in ein Drittland das Schutzniveau der DSGVO weiter aufrechterhalten wird. 

Sowohl die SCC als auch die BCR galten bislang als gängige Alternativen zum Privacy-Shield-Abkommen, sind jeweils aber auch nur bedingt bzw. nur unter weiteren Voraussetzungen anwendbar, weshalb es umso wichtiger erscheint weitere mögliche Handlungsempfehlungen auszusprechen. 

Welche Alternativen gibt es also?

Nicht zu allen, aber zu einigen US-amerikanischen Anwendungen bei denen personenbezogene Daten in die USA übermittelt werden, gibt es europäische Alternativen, die teilweise in Art. 49 DSGVO geregelt sind. Vorteil ist, dass diese Alternativen den Vorgaben der DSGVO unterliegen, und somit grds. sichergestellt ist, dass die Übermittlung und Verarbeitung von Daten dem Schutzniveau des europäischen Datenschutzes entsprichen. Informieren Sie sich also einmal, ob evt. auch für Ihr Unternehmen ein europäischer Cloud- Dienstleister oder aber ein europäisches Rechenzentrum attraktiv sein könnte.

Für den Fall, dass zwischen dem von der Auslandsdatenübermittlung Betroffenen und dem hierfür Verantwortlichen ein Vertragsverhältnis besteht, kann die Datenübermittlung in ein Nicht-EU-Land ggf. auch auf die Erfüllung eines Vertrages gestützt werden. Dies ist beispielsweise dann der Fall, wenn Sie sich als deutscher Staatsbürger in den USA befinden, und vor Ort eine Hotelbuchung vornehmen. Die jeweiligen Voraussetzungen und Anforderungen regelt Artikel 49, insbesondere Artikel 49 Absatz 1 Satz 1 lit. b) DSGVO. Wann und ob eine diese Ausnahmeregelung jedoch tatsächlich zum Tragen kommen kann, ist im Einzelfall zu beurteilen.

Die denkbar sicherste Lösung für eine datenschutzkonforme Übermittlung personenbezogener Daten in die USA ist die der Verschlüsselung. Hierbei werden die Daten, die in die USA übermittelt werden, verschlüsselt, um einen unberechtigten Zugriff auf diese Daten zu verhindern. Nachteil ist jedoch, dass nicht alle US-amerikanischen Dienstleister und Anwendungen eine solche Möglichkeit anbieten.

Wollen Sie jedoch zu 100 Prozent sicher sein, dass die in Ihrem Unternehmen vorgenommene bzw. beabsichtigte Datenübermittlung in die USA auch tatsächlich zulässig ist, bleibt Ihnen nur die Möglichkeit, sich von den jeweiligen Betroffenen eine ausdrückliche Einwilligung für die Übermittlung einzuholen. Sie sind jedoch verpflichtet, den Betroffenen vorab umfangreich über die Risiken einer solchen Auslandsübermittlung  und das ggf. nicht bestehende gleichwertige Schutzniveau zum europäischen Datenschutz, zu informieren. Die Anforderungen an die Einholung einer solchen Einwilligung sind in Artikel 49 Absatz 1 Satz 1lit. a) DSGVO normiert. Vorteil ist, dass durch die ausdrückliche Einwilligung der Betroffenen direkt nachweisen können, dass dieser der Übermittlung seiner Daten in die USA zugestimmt hat; Nachteil ist, dass noch nicht abschließend geklärt wurde, inwieweit die Einwilligung tatsächlich zulässig ist.

Dennoch ist auch der Art. 49 DSGVO mit Vorsicht zu betrachten. Schon die Überschrift dieser Vorschrift "Ausnahmen für bestimmte Fälle" macht deutlich, dass die Anwendung eher restriktiv erfolgen sollte. Art. 49 DSGVO gilt mit seinem Ausnahmecharakter als Abweichung vom Regelverbot der Datenübermittlung in ein Drittland, bei Nichtvorliegen eines angemessenen Datenschutzniveaus. Darüber hinaus gilt für Art. 49 Abs. 1 lit. b,c und e DSGVO, dass diese nur Anwendung bei einer "gelegentlichen Datenübermittlung", nicht jedoch bei einer sich systematisch wiederholenden Übermittlung in ein Drittland, finden. 

Schritt 4

Setzen Sie sich mit Ihren jeweiligen Dienstleistern und Vertragspartnern im Drittland in Verbindung, informieren SIe diesen über die Entscheidung des EuGH, soweit dieser hiervon noch keine Kenntnis hatte, und überlegen SIe gemeinsam, welche der oben genannten Alternativen es für Ihr Unternehmen gibt, um die Datenübermittlung auch weiterhin datenschutzkonform auszugestalten. Lassen Sie sich darüber hinaus von Ihrem Vertragspartnern/ Dienstleistern Informationen geben, wie die dortigen Datenschutz-Aufsichtsbehörden die Übermittlung der Daten ins Ausland handhaben. Gleichzeitig stellt Ihnen auch der Europäische Datenschutz-Ausschuss (kurz: EDSA) sowie die EU-Kommission und das Auswärtige Amt ausreichende Informationen zur jeweiligen Rechtslage hinsichtlich des Datenschutzes zur Verfügung.

Gleichzeitig prüfen Sie, ob es für das jeweilige Drittland ggf. einen sog. Angemessenheitsbeschluss nach Art. 45 DSGVO gibt. Ein solcher gilt jedoch nicht für die USA, sondern derzeit nur für die Länder: Argentinien, Kanada, Japan, Neuseeland und die Schweiz. Eine ausführliche Liste finden Sie unter https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

Informieren Sie sich dahingehend, ob es für das jeweilige Drittland ggf. etwaige Standardvertragsklauseln gibt, die Sie für die transatlantische Datenübermittland verwenden können. Eine Übermittlung von Daten auf dieser Grundlage ist jedoch nur in sehr begrenzten Fällen und grds. nur bei Vorliegen zusätzlicher Datenschutzgarantien möglich.

Schritt 5

Im letzten Schritt müssen Sie unbedingt Ihre bisher verwendete Datenschutzerklärung an den Stellen, bei denen Sie die Datenübermittlung in die USA auf das Privacy-Shield stützen, aktualisieren und der „neuen“ Rechtsgrundlage anpassen.

Sollten Sie Fragen haben, stehen wir Ihnen jederzeit zur Verfügung!

>> Unsere Leistungen als Datenschutzbeauftragter >> Demo-Schulung zur DSGVO starten (Dauer: 20min.)
Die Datenübermittlung in die USA nach dem „Privacy-Shield-Urteil“

Dr. Dennis Werner

Fachanwalt für IT-Recht
TÜV-zertifizierter Datenschutz­beauftragter

Handlungsempfehlungen zum „Privacy-Shield-Urteil“ des EuGH

Fragen zum Datenschutz?

Rufen Sie uns an
0800 18 272 00
Oder schreiben Sie uns
info@jurando.de
Wie wir Sie im Datenschutz unterstützen,
erfahren Sie im Video.

Datenschutzlösungen im Vergleich

Kein Datenschutz­beauftragter Trotz Verpflichtung
  • Kein Datenschutz­beauftragter
  • Bußgelder bis 10 Mio. € auch gegenüber kleinen Unternehmen
  • Abmahnrisiko durch Mitbewerber
  • Haftung der Geschäftsführung
  • Reputationsverlust bei Geschäftspartnern
Klassischer Datenschutz­beauftragter Interner/Externer DSB vor Ort
  • Interner o. externer Datenschutz­beauftragter
  • Ansprechpartner bei allen Fragen zum Datenschutz
  • Keine moderne Softwarelösung
  • Meist höhere Kosten durch Vor-Ort-Schulungen
  • Interner DSB: Arbeitsrechtlicher Kündigungsschutz
  • Interner DSB: Zeit- und kostenaufwendige Aus-/Fortbildung
Digitaler Datenschutz­beauftragter Die Jurando-Lösung
  • Externer Datenschutz­beauftragter
  • Ansprechpartner bei allen Fragen zum Datenschutz
  • Minimaler eigener Zeitaufwand
  • Keine kostenintensiven Vor-Ort-Termine erforderlich
  • Datenschutz-Management-Software automatisiert Prozesse
  • Ständig aktuelles Datenschutz-Management-Handbuch
  • E-Learning zur Mitarbeiter­schulung

Kundenmeinungen

„Wir sind ein kleiner Betrieb, hatten mit Datenschutz bisher wenig zu tun. Die Mitarbeiter von Jurando GmbH haben uns bei den ersten Schritten geholfen und uns kompetent bei der Umsetzung der neuen Pflichten unterstützt.“

Christian K.

„Das Team von Jurando hat mich schnell mit einem Sofort-Maßnahmen-Paket zur Aktualisierung meiner Datenschutzerklärung unterstützt. Mein Ansprechpartner war gut erreichbar. Deshalb: 5 Sterne!“

Michael S.

„Ich bin viel zu spät auf die Datenschutzverordnung aufmerksam geworden. Zum Glück habe ich noch jurando gefunden, die mich kurzfristig bei der Umsetzung der wichtigsten Verpflichtungen unterstützt hat.“

Dieter W.

„Da wir über 10 Mitarbeiter sind, mussten wir im Mai den neuen Datenschutz befolgen. Wir sind dann im Web auf dieses Angebot gekommen und wurden in mehreren persönlichen Gesprächen gut von Dr. Werner unterstützt“

Ardian F.

„Bei uns war ein Datenschutzbeauftragter erforderlich. Den haben wir hier unkompliziert gefunden. Bisher alles gut.“

Daniel T.

„Als Arztpraxis hatte man uns auf die DSGVO aufmerksam gemacht. Ich bin dann bei ihrer Veranstaltung im Kulturhaus gewesen. Gut, dass wir in unserer Nähe einen Datenschutzbeauftragten als Ansprechpartner gefunden haben.“

Matthias H.

JURANDO GmbH hat 4,92 von 5 Sternen | 34 Bewertungen auf ProvenExpert.com
Externer Datenschutzbeauftragter (DSGVO & Datenschutz-Management-Software)
Erfahrungen & Bewertungen zu JURANDO GmbH