EuGH kippt das US-Privacy-Shield: Was tun?

Vier Jahre nach «Safe Harbour» hat der EUGH das US-Privacy-Shield gekippt!

Das war rechtlich vorhersehbar, die Meldung ist aber dennoch wie eine Rakete mitten im noch frischen Sommer eingeschlagen. Das IAPP, die International Association of Privacy Professionals, hatte gleich drei Online-Sessions dazu anberaumt, alle gut besucht.

Sie lesen hier:

Welche Auswirkungen hat die Aufhebung des US-Privacy-Shields? Was muss ich tun?

Kurz vorweg: Wenn Sie personenbezogene Daten ausschliesslich in der EU und der Schweiz speichern, betrifft Sie das EuGH-Urteil gar nicht. Sie können dann gerne entspannt weiterlesen.

Falls Sie hingegen personenbezogene Daten mit einem Unternehmen in den USA austauschen oder einen solchen Dienst nutzen, sind Sie mit hoher Wahrscheinlichkeit betroffen und finden hier nähere Informationen und Handlungsempfehlungen.

Rückblick

Max Schrems hat 2013 eine Klage gegen die Weiterleitung seiner Daten von Facebook Irland an Facebook USA eingereicht. Das Verfahren läuft immer noch:

Jahr Geschehen
2013 Klage von Max Schrems auf Nichtweiterleitung von personenbezogenen Daten von Facebook Irland an Facebook USA
2014 Sammelklage gegen Facebook in Österreich
2015 Safe Harbour wurde vom EuGH als rechtswidrig abgelehnt
2016 EU vereinbart mit den USA das US-Privacyshield als Ersatz
2018 Sammelklage in Östereich vom OGH abgelehnt: 25.000 Kläger!
2020-07-16 US-Privacy-Shield wurde vom EuGH als rechtswidrig aufgehoben

Nachdem 2015 bereits die Safe Harbour Regelung aufgehoben worden war, hat der EuGH nun am 16.07.2020 auch die Nachfolgeregelung, das US-Privacy-Shield als rechtswidrig aufgehoben (Pressemitteilung).

Zweck des US-Privacy-Shields

Datenschutz greift nicht nur, wenn Sie selbst personenbezogene Daten erfassen und verarbeiten:

Datenschutz gilt auch dann, wenn Sie personenbezogene Daten weitergeben.

Wenn Sie nach der DSGVO personenbezogene Daten ausser Haus geben und von einem anderen verarbeiten lassen wollen, benötigen Sie deshalb einen Datenverarbeitungsauftrag (auch: Auftragsverarbeitungsvertrag – AVV, Englisch: Data Processing Agreement – DPA; vgl. Art 28 GDPR).

Wenn Sie Daten in ein anderes Land ausserhalb der EU weiterleiten, muss sichergestellt sein, dass es dafür einen qualifizierten Rechtsgrund gibt und dass das Zielland auch ein entsprechendes Datenschutzniveau hat, das dem in der EU vergleichbar ist.

EU US-Privacy-Shield

Das US-Privacy-Shield und sein Vorläufer, der Safe-Harbour, sahen vor, dass US-Firmen, die bestimmten Anforderungen genügen, sich in eine Liste eintragen lassen können.

Mit diesen Unternehmen konnten europäische und – für das US-Swiss-Privacy-Shield – Schweizer Firmen nach den europäischen Datenschutz-Anforderungen rechtskonform Daten austauschen.

Das US-Privacy-Shield ist per 16.07.2020 vom EuGH aufgehoben werden.

Das EU-Privacy-Shield ist somit Geschichte: Wenn Sie bisher auf das US-Privacy-Shield angewiesen waren, besteht rechtlicher Handlungsbedarf. Sie müssen auf die sogenannten Standardvertragsklauseln ausweichen, um einen rechtskonformen Austausch mit den USA sicherzustellen.

Sie müssen rechtlich auf Standardvertragsklauseln umsatteln, wenn Sie bisher mit einem Unternehmen in den USA personenbezogene Daten ausgetauscht haben, das das US-Privacy-Shield nutzte.

Anmerkung: Das Swiss US-Privacy-Shield

Originellerweise gilt per 16.07.2020 das Schweizer Privacy-Shield noch weiter. Das ist zwar eine rechtliche und eher nicht nachhaltige Paradoxie, dennoch gilt:

Sie können derzeit und bis auf weiteres Daten über die Schweiz rechtmässig von der EU in die USA schicken!

Standardvertragsklauseln (Standard Contractual Clausels – SCC)

Die EU sieht dafür sogenannte Standardvertragsklauseln vor, dabei wird zwischen für die Datenverarbeitung Verantwortlichen und Beauftragten unterschieden.

  • Sie können diese standardisierten Verträge nutzen.
  • Die Datenschutzbehörden wissen damit, worum es geht, ihnen bleibt die Kontrolle und Nachprüfung darüber vorbehalten.
  • Und den betroffenen Personen soll die rechtliche Nachprüfbarkeit bei Problemen ermöglicht werden.

Diese Standardvertragsklauseln müssen Sie anlassbezogen konkretisieren und aktivieren. Das ist natürlich viel mühsamer als die Nutzung des US-Privacy-Shields, bei dem mit gelisteten Unternehmen gewissermassen automatisch Daten ausgetauscht rechtskonform werden konnten.

Da die rechtliche Fragwürdigkeit des US-Privacy-Shields schon lange klar war, ist es tragisch, welche rechtliche Unsicherheit die EU-Verantwortlichen hier zu Lasten aller Wirtschaftstreibenden haben aufkommen lassen. Man kann durchaus von einem Versagen europäischer Digitalpolitik sprechen.

Daneben gilt weiter Art 49 DSGVO, der bestimmte Ausnahmen für die Datenweitergabe an Drittstaaaten vorsieht.

Was können oder müssen Sie tun?

Es liegt ein grundsätzliches politisches Versäumnis vor, das hoffentlich rasch korrigiert werden wird. Realistischer ist eher, dass es noch lange Zeit dauern wird.

Was müssen oder sollten Sie nun tun?

  1. Wenn Sie in der Schweiz positioniert sind und bisher mit Unternehmen auf Basis des Swiss US-Privacy-Shields personenbezogene Daten ausgetauscht haben, liegt kein Handlungsbedarf vor. Sie sollten die Situation aufmerksam beobachten.
  2. Wenn Sie hingegen mit Unternehmen auf Basis des EU US-Privacy-Shields personenbezogene Daten ausgetauscht haben, haben Sie durch die EuGH-Entscheidung «rechtliche Schulden» und sollten die Umstellung auf Standardvertragsklauseln aktiv in Angriff nehmen.
  3. Wenn Sie personenbezogene Daten ohnehin nur mit Unternehmen in der EU austauschen und durch diese verarbeiten lassen, gelten die allgemeinen Regeln der DSGVO und genügt nach wie vor ein Auftragsverarbeitungsvertrag nach Art 28 DSGVO.

Da die Politik hier schon mehrfach versagt hat, wird es - wie gesagt - mit hoher Sicherheit einige Zeit dauern, bis eine tragfähigere Lösung vorliegt.

Sie sind also gut beraten, wenn Sie im Fall des Falles rasch mit der Umstellung auf Standardvertragsklauseln starten.


Für Rückfragen und zur weiteren Unterstützung stehe ich Ihnen sehr gerne unter pe@peterebenhoch.com zur Verfügung!