EU-US-Privacy Shield gekippt – was nun?
EUGH-Urteil vom 16.07.2020
Der EUGH hat am 16.07.2020 entschieden, dass der EU-US-Privacy Shield nicht mehr als DSGVO-konforme Datenschutzgarantie einzustufen ist. Konkret ging es in dem als “Schrems II” bezeichneten Verfahren um Übertragungen personenbezogener Daten an Facebook in den USA und die dortige problematische Gesetzeslage. Diese ermöglicht bestimmten Behörden, Einsichtnahme in die Daten auch europäischer Nutzer des sozialen Netzwerks auch ohne deren Wissen und Einwilligung zu nehmen, trotz einer Garantie wie dem EU-US Privacy Shield. Dies wurde vom Gericht nun als nicht akzeptabel eingestuft.
Mit ähnlicher Begründung war übrigens schon das Vorgänger-Abkommen “Safe Harbour” 2015 gescheitert.
Ausführliche Informationen finden Sie in unserem Update zum Thema >>>
Was bedeutet das Urteil in der Konsequenz?
Streng genommen sind somit Übertragungen von personenbezogenen Daten in die USA, die bisher über den EU-US Privacy Shield als datenschutzkonform garantiert wurden, ab sofort nicht mehr mit konform zur EU-DSGVO. Wenn man diese sehr strikte Linie durchargumentiert, sind auch andere Datenschutz-Garantien wie etwa die EU-Standardvertragsklauseln, obwohl sie durch das gestrige Urteil ganz explizit NICHT gekippt wurden, hinfällig, denn auch sie können die US-Gesetzeslage ja nicht ändern. Solange es keine höchstrichterlich anderslautende Aussage oder eine konkrete Antwort der Politik (also ein weiteres Folgeabkommen) gibt, sind Datentransfers in die USA nicht DSGVO-konform.
Weitergedacht bedeutet das, dass zum einen durch Betroffenenbeschwerden oder sonst wie initiierte Ermittlungen der Datenschutz-Aufsichtsbehörden zu Untersagungen von Verarbeitungen und entsprechenden Bußgeldern führen können.
Zum Zweiten besteht auch das Risiko, dass Wettbewerber eine Abmahnung anstrengen, weil sie angeblich einen Wettbewerbsnachteil Ihnen gegenüber haben durch Ihren Datenaustausch mit den USA.
Was sollten Sie nun tun?
Zunächst einmal: Ruhe bewahren!
Die o.g. Risiken sind real, jedoch ist es als extrem unwahrscheinlich einzustufen, dass die Aufsichtsbehörden nun tatsächlich umgehend beginnen, großflächig entsprechende Überprüfungen anzustellen und bei Feststellungen sofort Bußgelder zu verhängen. Ebenso hat die Vergangenheit gezeigt, dass es zwar immer wieder Versuche gab, auf Basis der DSGVO Abmahnungen durchzusetzen, diese müssen aber wettbewerbsrechtlich sehr stringent begründet werden, und die aktuellen Gesetzesinitiativen in Richtung der Eindämmung von Abmahnmissbrauch sprechen auch eine klare Sprache, dass die Politik hier einen Riegel vorschieben will.
Ein Freibrief ist das natürlich nicht, aber die Wahrscheinlichkeit, dass kurzfristig Bußgelder oder Schadensersatzzahlungen fällig werden, schätzen wir als minimal ein.
Also alles gut, nur ein Sturm im Wasserglas?
Das nun auch wieder nicht, denn die aktuell durchaus abgekühlte politische Lage zwischen der EU und den USA reduziert die Hoffnung auf ein rasches stabiles Folgeabkommen, und dann werden sich auch die Aufsichtsbehörden eine Strategie zurechtlegen müssen wie man der DSGVO gerecht wird.
Daher empfehlen wir die folgenden Maßnahmen jetzt einzuleiten und konsequent zu verfolgen:
- Wenn es geht, pausieren Sie nicht zwingend nötige Übertragungen personenbezogener Daten in die USA.
- Überprüfen Sie zusammen mit Ihrem Datenschutzbeauftragten (in vielen Fällen also mit uns) Ihre Datendienstleister. Bei Weitem nicht alle senden Daten in die USA.
- Besteht eine Option die Datenhaltung kurzfristig in die EU zu verlegen (so wie bei den meisten Business-Tarifen der großen Anbieter wie Microsoft oder Amazon)? Dann stellen Sie auf diese Option um.
- Wenn nicht: Sind bereits die EU-Standardvertragsklauseln Bestandteil der Datenschutzgarantien des Dienstleisters (dies ist ebenfalls bei den Big Playern der Fall)? Stellen Sie sicher, dass diese als Garantie in jedem Fall akzeptiert werden, wenn eine Datenübertragung in die USA weiterhin erfolgen muss.
- Stellen Sie Ihre betroffenen Prozesse auf den Prüfstand: Welche alternativen Dienstleister gibt es, bei denen eine Übertragung von Daten in Drittstaaten vermeidbar ist? Erwägen Sie zumindest die Prüfung eines mittelfristigen Wechsels.
Benötigen Sie Unterstützung?
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!