Recht aktuell

Datenübermittlung in die USA – Aus für Privacy Shield

Mit Urteil vom 16.07.2020 (Rechtssache C-311/18, Schrems II) hat der Europäische Gerichtshof (EuGH) den Angemessenheitsbeschluss der EU-Kommission zur Datenübermittlung in die USA (sog. „Privacy Shield Abkommen“) für ungültig erklärt.  
Der EuGH hält das Datenschutzniveau in den USA nicht für angemessen, da das Privacy Shield-Abkommen keinen ausreichenden Schutz biete gegenüber nachrichtendienstlichen Aufforderungen zur Herausgabe von personenbezogenen Daten von EU-Bürgern, die in den USA verarbeitet bzw. dorthin übermittelt werden.
Durch die Ungültigkeit des Angemessenheitsbeschlusses kann mit sofortiger Wirkung keine Datenübermittlung in die USA mehr auf den Privacy Shield gestützt werden.
Ob und wann ein „Ersatz“ für die Privacy Shield-Vereinbarung vorhanden sein wird, ist aktuell nicht abzusehen.

Was müssen Unternehmen nach dem Urteil tun?

Unternehmen sollten überprüfen, welche Dienstleister personenbezogene Daten in Drittländern verarbeiten. Die bisher hierfür genutzten datenschutzrechtlichen Garantien müssen überprüft und ggf. ersetzt werden. Außerdem sollten die Verarbeitungsverzeichnisse und die Datenschutzerklärungen angepasst und Hinweise auf Privacy Shield als Garantie für eine Datenübermittlung entfernt werden.
Abschluss von Standardvertragsklauseln
Eine mögliche Garantie für Datenübermittlungen in die USA können sogenannte Standardvertragsklauseln sein. Diese wurden von der EU-Kommission neu verabschiedet. Weitere Informationen dazu finden Sie im IHK-Merkblatt “ Neue Standardvertragsklauseln”.
Daten innerhalb der EU speichern
Viele größere US-Anbieter bieten inzwischen aber die Möglichkeit an, Daten auf EU-Servern zu speichern. Daher sollten Unternehmen ihre US-Dienstleister nach EU-Servern fragen und möglichst in europäischen Rechenzentren ihre Datenhaltung betreiben. Ob dies ein “sicherer” Weg ist, lässt sich abschließend nicht sagen. Das Risiko liegt potentiell im relativ leichten Zugriff auf Daten durch US-Behörden. Dennoch dürfte es gegenüber den Aufsichtsbehörden ein positives Zeichen sein, sich um eine Datenverarbeitung außerhalb der USA zu bemühen.
Weitere Ausnahmen
Art. 49 DSGVO enthält verschiedene Ausnahmen, wonach personenbezogene Daten transferiert werden können, ohne dass es dem Abschluss formaler Klauseln oder Angemessenheitsbeschlüssen bedarf. Unternehmen sollten daher prüfen, ob ihre Datenübermittlung unter diese Ausnahmen fallen könnten.
Ausnahmsweise ist eine Datenübermittlung auch ohne Garantien zulässig, wenn der Betroffene in den Datentransfer in das Drittland eingewilligt hat und über das fehlende angemessene Datenschutzniveau informiert wurde. Eine Übermittlung von Kundendaten ist auch möglich, soweit die Daten für vorvertragliche Maßnahmen oder zur Vertragsabwicklung erforderlich sind. In Betracht kommen insbesondere alltägliche Fälle, in denen der Betroffene die vorvertraglichen oder vertraglichen Maßnahmen selbst veranlasst hat, beispielsweise die Reservierung von Hotels und internationaler Beförderungsleistungen, die Abwicklung internationaler Überweisungen durch die Bank oder der Versand bestellter Ware zur Vertragserfüllung.

Konsequenzen unzulässiger Datenübermittlung?

Ist die Übermittlung in die USA unzulässig, können die üblichen Sanktionen durch Aufsichtsbehörden drohen. Es könnte die Unterlassung des Einsatzes von Diensten und Dienstleistern verlangt oder Bußgelder (bis 4 % des Umsatzes eines Unternehmens) verhängt werden. Allerdings dürfte davon auszugehen sein, dass die Aufsichtsbehörden aufgrund der schwierigen Lage zunächst zurückhaltend agieren.