Privacy Shield – adé

Er hat es wieder getan. 

Der österreichische Jurist und Datenschützer Max Schrems hat im ewigen Streit mit Facebook nicht nur das Vorgänger-Abkommen „Safe Harbor“ zu Fall gebracht, sondern nun auch „Privacy Shield“. Wie schon 2015 stellte der EuGH auch diesmal fest, dass durch das Abkommen kein ausreichender Schutz der übermittelten Daten gewährleistet wird.

  1. Privacy Shield

Das „Privacy Shield“-Abkommen, wie auch „Safe Harbor“ zuvor, sollte es Unternehmen erleichtern Daten zur Verarbeitung in das Drittland USA zu transferieren. Dazu sollten gewisse Datenschutzstandards eingehalten und Rechtsschutzmöglichkeiten geschaffen werden, um der europäischen Datenschutzverordnung (DSGVO) Rechnung zu tragen.

Die dadurch erreichte Schutzhöhe sieht der EuGH im Vorabentscheidungsverfahren als nicht ausreichend an. Hauptkritikpunkt sind dabei die uneingeschränkten Zugriffsrechte der amerikanischen Nachrichtendienste auf Daten, die in die USA transferiert wurden. Die Rechtsschutzmöglichkeiten gegen einen Datenzugriff seien nicht dem Schutzniveau der DSGVO entsprechend. Deshalb sei Privacy Shield als Gleichwertigkeitsgarantie unzureichend.

2. Standardvertragsklauseln

Unternehmen, die sich auf das Abkommen beriefen um Daten in die USA zu transferieren, müssen nun den einzig anderen Weg gehen: Der EuGH hat in der Entscheidung klargestellt, dass er die Übertragung im Rahmen von Standardvertragsklauseln weiterhin zulässt. Diese Standardvertragsklauseln werden von der EU ausgearbeitet und Unternehmen zur Verfügung gestellt. Sie verpflichten, verkürzt dargestellt, datenverarbeitende Unternehmen das Schutzniveau der DSGVO einzuhalten.

  1. Das Problem

Wer jetzt denkt: „Na prima, nehmen wir einfach die Standardvertragsklauseln auf.“, wird bei weiterer Lektüre der EuGH-Entscheidung feststellen, dass auch dieser vermeintliche Ausweg unter Umständen eine Sackgasse ist.

Der EuGH ermahnt zuständige Datenschutzbehörden die Einhaltung dieser Standardvertragsklauseln zu überprüfen. Für in den USA tätige Unternehmen wird, auf Grund der lokalen Gesetze, eine Einhaltung im Ernstfall (bspw. dem Zugriff durch Nachrichtendienste) nicht möglich sein. Hiernach ist der Datentransfer durch die zuständigen Datenschutzbehörden zu untersagen.

3. Das Problem

Wer jetzt denkt: „Na prima, nehmen wir einfach die Standardvertragsklauseln auf.“, wird bei weiterer Lektüre der EuGH-Entscheidung feststellen, dass auch dieser vermeintliche Ausweg unter Umständen eine Sackgasse ist.

Der EuGH ermahnt zuständige Datenschutzbehörden die Einhaltung dieser Standardvertragsklauseln zu überprüfen. Für in den USA tätige Unternehmen wird, auf Grund der lokalen Gesetze, eine Einhaltung im Ernstfall (bspw. dem Zugriff durch Nachrichtendienste) nicht möglich sein. Hiernach ist der Datentransfer durch die zuständigen Datenschutzbehörden zu untersagen.

Das Problem vieler transatlantisch tätiger Unternehmen inklusive der „Big Five“ ist also der effektive Marktzugang. Ein solcher existiert nicht mehr, solange die USA ihr Datenschutzniveau nicht entsprechend anheben oder die Datenverarbeitung gleich ganz in der EU stattfindet.

Haben Sie Fragen zur Umsetzung?

Rufen Sie uns unter der Telefonnummer 0681 / 965916 – 80  an