• DE
  • Aktuelles
  • EuGH kippt Privacy Shield – was bedeutet das für deutsche Unternehmen und Verbraucher?

Themen

Archiv

EuGH kippt Privacy Shield – was bedeutet das für deutsche Unternehmen und Verbraucher?

| von FRIES Rechtsanwälte

Titelbild: Privacy Shield

Die im Jahr 2016 in Kraft getretene Vereinbarung EU-US Privacy Shield für den Datenaustausch zwischen Europa und den USA ist am vergangenen Donnerstag, den 16.07.2020 vom höchsten EU-Gericht (EuGH) gekippt worden (C-311/18 – „Schrems II“). Nach dem Safe-Harbor-Abkommen, das im Jahr 2015 vom EuGH für unwirksam erklärt wurde, trifft es nun auch das sogenannte „Privacy-Shield“, das seitdem als zwischenstaatliches Abkommen den Schutz personenbezogener Daten regelte, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen wurden. Die Entscheidung betrifft amerikanische IT-Konzerne wie Facebook oder Google, aber auch zahlreiche Hoster, Tracking- und Newsletteranbieter sowie alle, die Dienstleistungen dieser Unternehmen in Anspruch nehmen. Ein Beitrag von Rechtsanwalt Martin Kühnlein (Fachanwalt für Verwaltungsrecht) und Rechtsanwältin Annika Orth (Datenschutzbeauftrage DSB-TÜV).

Hintergrund des Rechtsstreits

Foto: Rechtsanwalt Martin Kühnlein, Fachanwalt für Verwaltungsrecht (Nürnberg)
RA Martin Kühnlein

Seit knapp einem Jahrzehnt geht der österreichische Jurist und Aktivist Max Schrems juristisch gegen Facebook vor. 2014 landete eine Klage von Schrems erstmals vor dem EuGH.

Im Kern geht es um die Frage, ob Facebook und andere Unternehmen personenbezogene Daten ihrer Nutzer in die USA transferieren und dort für Werbezwecke verarbeiten dürfen. Dabei spielte das bislang gültige Privacy-Shield-Abkommen zwischen den USA und der EU eine wichtige Rolle: Es galt als eine der wichtigsten Grundlagen für Datentransfers zwischen EU und den USA. Nach der Datenschutzgrundverordnung (DSGVO) dürfen personenbezogene Daten nämlich nur dann in ein Drittland übermittelt werden, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet.

Kein ausreichender Datenschutz in den USA

Doch genau dieses Schutzniveau sieht der EuGH in den USA als nicht gegeben an. Er erklärt in seiner Pressemitteilung, dass der Datenschutz in den USA schon deshalb nicht dem in der EU gleichwertig sein könne, da „die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind“.
Laut EuGH löst das Privacy-Shield also gerade nicht den Konflikt zwischen EU-Datenschutzrecht und US-Überwachungsrecht. Informationen über europäische Verbraucherinnen und Verbraucher seien auf US-Servern nicht vor dem Zugriff dortiger Behörden und Geheimdienste geschützt.

Wer ist von dem Urteil betroffen?

Foto: Rechtsanwältin Annika Orth (Fries Rechtsanwälte, Nürnberg)
RAin Annika Orth

Unmittelbar betroffen sind rund 5.000 Unternehmen (siehe https://www.privacyshield.gov/list), die sich bei ihren Datenübertragungen in die USA auf das „Privacy Shield“ berufen.

Darüber hinaus sind auch alle Unternehmen betroffen, die mittelbar Datentransfers in die USA vornehmen. Das erfolgt zumeist bei der Zusammenarbeit mit Dienstleistern, die ihre technische Infrastruktur oder Teile davon in den USA vorhalten. Hierzu gehören Unternehmen wie Microsoft, Facebook, Google, Amazon sowie mittelständische Unternehmen. So fällt beispielsweise auch die Nutzung von verschiedenen Google-Diensten auf Websites (wie z. B. Google Analytics, etc.) darunter, aber auch Dienstleister oder gar Konzerne, deren Tochtergesellschaften oder andere Unternehmensteile in den USA liegen und aufgrund dessen Daten in die USA übermittelt werden.

Und was bedeutet das Urteil jetzt in der Praxis?

Das Urteil des EuGH bedeutet nicht, dass nun grundsätzlich keine europäischen Daten mehr in den USA verarbeitet werden dürfen. Die sogenannten EU-Standardvertragsklauseln können nach dem EuGH-Urteil eine gültige Grundlage für den Transfer bilden. Allerdings muss auch bei dieser Übermittlung das vom Unionsrecht verlangte Schutzniveau eingehalten werden.

Die Luxemburger Richter betonten aber ausdrücklich, dass die Aufsichtsbehörden verpflichtet seien, nach den neu aufgestellten Maßstäben „unzulässige Datenexporte zu verbieten“.

Für die betroffenen Unternehmen schafft das Urteil zunächst große Rechtsunsicherheit. Die Entscheidung des EuGH entfaltet unmittelbare Gültigkeit. Die Betroffenen sollten daher mit der Ergreifung von Maßnahmen nicht zu lange abwarten. Dennoch ist es ratsam, zunächst einmal eine Leitlinie bzw. Stellungnahme der deutschen Aufsichtsbehörden abzuwarten. Bislang gab es hierzu lediglich eine Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Diese forderte datenverarbeitende Stellen in Berlin auf, in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern. Da allerdings davon auszugehen ist, dass fast jedes Unternehmen hiervon betroffen ist – und sei es eben auch „nur“ durch Verwendung von Google-Analyse-/Trackingtools auf der Website – ist auch eine Reaktion dieser „Datenriesen“ für den europäischen Markt sowie eine Handlungsanweisung der Aufsichtsbehörden abzuwarten. Sobald eine offizielle Stellungnahme hierzu vorliegt, werden wir unseren Beitrag aktualisieren.

Text: RA Martin Kühnlein und RAin Annika Orth
Titelbild: Bearb., Bild von Gerd Altmann auf Pixabay

Zurück