Informationsschreiben

Privacy-Shield-Abkommen

08.09.2020, Hon.-Prof. Dr. Clemens Thiele, LL.M. Tax (GGU)

Aufgrund medialer Berichtserstattung wurde Ihnen vermutlich bereits zur Kenntnis gebracht, dass der Europäische Gerichtshof in seiner Entscheidung vom 16.7.2020 das Privacy-Shield-Abkommen (Beschluss 2016/1250 über die Angemessenheit des EU-US-Datenschutzschild) zwischen der Europäischen Union und den USA, das den Vereinigten Staaten ein angemessenes Datenschutzniveau garantierte, für ungültig erklärt hat (EuGH, 16.7.2020, C-311/18 [Schrems/Facebook Ireland]).

Im Rahmen der datenschutzrechtlichen Betreuung durch unser Datenschutzteam weisen wir Sie daher darauf hin, dass durch den Wegfall des Privacy-Shield-Abkommens eine Datenübermittlung in die Vereinigten Staaten nun nicht mehr dem erforderlichen Schutzniveau der DSGVO entspricht und dadurch mit erheblichen Strafen iSv Art 83 Abs 5 lit c DSGVO (€ 20 Mio oder 4 % des weltweiten Umsatzes) zu rechnen ist.

Wir empfehlen daher dringend, eine Datenübermittlung an US-ansässige Unternehmen, US-Server sowie Anbieter mit US-Bezug zu vermeiden oder lediglich noch unter besonderen Begleitmaßnahmen zu tolerieren.

Zu berücksichtigen ist zudem, dass Standardvertragsklauseln, die von der Europäischen Kommission erlassen wurden und in denen die datenschutzrechtlichen Pflichten der beteiligten Unternehmen festgelegt werden nicht jede Drittlandübermittlung rechtfertigen können. Bei der Nutzung von Standardvertragsklauseln hat nämlich das datenübermittelnde Unternehmen eigenständig im Einzelfall zu beurteilen, ob das Schutzniveau der DSGVO im Drittland eingehalten werden kann. Für die USA wurde dieser Rechtsrahmen bereits durch den EuGH beurteilt. Die Gründe, die zur Aufhebung des EU-US-Privacy-Shields geführt haben, sind dieselben die gegen die Zulässigkeit der Datenübermittlung auf Basis von Standardvertragsklauseln sprechen. Dies gilt insbesondere für jene US-Empfänger, die den einschlägigen sicherheitsbehördlichen und geheimdienstlichen Befugnisgesetzen (ua Foreign Intelligence Surveillance Act 702– „FISA 702“) die den Sicherheitsbehörden ohne richterlichen Beschluss Zugriff auf die Daten gewähren, unterliegen. Unter FISA 702 fallen jedenfalls US-Unternehmen, die ein Telekommunikationsunternehmen betreiben. Dies gilt auch für US-Anbieter, die solche lediglich in Anspruch nehmen. Unter Umständen könnten sogar auch EU-/EWR-Anbieter darunterfallen, sofern ein US-Bezug gegeben ist.

Kurz zusammengefasst bedeutet dies, dass kaum Fälle denkbar sind, in denen die USA einen DSGVO-konformen Rechtsrahmen bieten. Somit sind Standardvertragsklauseln idR auch kein Ausweg um personenbezogene Daten in die USA zu übermitteln.

Demzufolge ersuchen wir Sie dringend folgende Maßnahmen bei Drittlandübermittlungen, insbesondere in die USA, zu ergreifen:

  1. Prüfen Sie, ob und in welchem Rahmen personenbezogene Daten in die USA (zB an US-Anbieter oder Anbieter mit US-Bezug, wie Amazon, Mail Chimp, Microsoft, Apple, Google, WhatsApp, Instagram, Facebook, Dropbox, Cloudflare, Verizon) übermittelt werden.
  2. Gruppieren Sie die Datenverarbeitungen nach der Rechtsgrundlage für die Datenübermittlung:
    • EU-US-Privacy Shield: Für diese Datenübermittlung ist dringend eine andere Rechtsgrundlage zu finden.
    • Standardvertragsklauseln: Prüfen Sie, ob die Empfänger oder einer seiner Dienstleister den sicherheitsbehördlichen und geheimdienstlichen Befugnisgesetzen (FISA 702) unterliegen. Ist dies der Fall, sind Datenübermittlung nicht auf diese Rechtsgrundlage zu stützen.
    • Bei bloß gelegentlich und nicht wiederholter Drittlandübermittlung: Prüfen Sie, ob eine der Ausnahmen gemäß Art 49 DSGVO vorliegt.
    • Bei nicht bloß gelegentlicher Übermittlung: Die Datenübermittlung kann uU – auch wenn der Europäische Datenschutzausschuss anderer Ansicht ist – auf eine der Ausnahmen in Art 49 DSGVO gestützt werden, da der EuGH explizit auf diese besondere Ausnahme hinweist. Diese Rechtfertigung birgt allerdings dennoch ein hohes Risiko für den Verantwortlichen.
  3. Ist kein Rechtfertigungsgrund für die Drittlandübermittlung vorhanden, ist die Übermittlung dringend auszusetzen und nach alternativen Anbietern in der EU bzw im EWR (ohne US-Bezug) zu suchen. Ansonsten ist alternativ von Ihnen zu beurteilen, ob das Risiko einer datenschutzrechtlichen Sanktionierung durch die Datenschutzbehörde eingegangen werden will. Diese Vorgehensweise ist jedoch keinesfalls zu begrüßen.

Zur Klärung der Frage, ob Ihr US-Anbieter oder Anbieter mit US-Bezug in den Anwendungsbereich von FISA 702 oder andere sicherheitsbehördliche und geheimdienstliche Befugnisgesetze fällt, bieten wir Anfragemuster an, die Sie Ihrem US-Anbieter zukommen lassen können.

 


Gefällt Ihnen dieser Blogpost? Wenn Sie regelmäßig die neuesten Trends im Datenschutz & IT-Sicherheit mitbekommen möchten, dann abonnieren jetzt unseren Newsletter. Hier geht es zum Anmeldeformular.