INFORMATIONEN

Das EU-US-Datenschutzschild: Was bedeutet die Entscheidung des EuGH für Unternehmen?

Die Übermittlung personenbezogener Daten in die Vereinigten Staaten ist seit Jahren ein umstrittenes Datenschutzthema. In diesem Artikel gehen wir auf den derzeitigen Rechtsrahmen und die Entscheidung des EuGH zum EU-US Privacy Shield ein.

Personenbezogene Daten dürfen nur dann in ein Drittland übermittelt werden, wenn dieses Land ein angemessenes Schutzniveau bietet (Artikel 44 DSGVO). Nach europäischen Maßstäben wird der Datenschutz in den Vereinigten Staaten in der Regel als unzureichend angesehen, weshalb keine personenbezogenen Daten dorthin übermittelt werden sollten – richtig?

Hier hilft Artikel 45 DSGVO, der klarstellt, dass auch Datenübermittlungen in ein Drittland zulässig sind, sofern die Europäische Kommission in einem angemessenen Urteil festgestellt hat, dass das Datenschutzniveau angemessen ist. Das EU-US Privacy Shield, das am 1. August 2016 in Kraft getreten ist, basiert auf dieser Grundlage.

Es ist wichtig zu verstehen, dass das Privacy Shield kein Vertrag ist, sondern eine Vereinbarung zwischen den Vereinigten Staaten und der Europäischen Union. Im Gegenzug garantierten die USA bestimmte Datenschutzmaßnahmen, und die Kommission erließ das sogenannte Angemessenheitsurteil. Das Privacy Shield ist nun für ungültig erklärt worden. Welche Auswirkungen hat dies auf den Datentransfer zwischen Unternehmen?

Was beinhaltete der EU-US-Datenschutzschild und welche Ziele wurden mit dem Datenschutzschild verfolgt?

Das Privacy Shield erlaubte nicht die Übermittlung von Daten in die Vereinigten Staaten, sondern diente als Grundlage für die Datenübermittlung an US-Unternehmen, die eine gültige Privacy-Shield-Zertifizierung erhalten hatten.

Dazu müssen sich amerikanische Unternehmen, die an der Verarbeitung personenbezogener Daten von EU-Bürgern interessiert sind, beim US-Handelsministerium registrieren lassen. Die Unternehmen erklärten sich bei der Registrierung zwar bereit, die Grundsätze des Privacy Shield zu befolgen, aber es fand keine externe Bewertung statt, weshalb dieses Verfahren als Selbstzertifizierung bezeichnet wird.

Bis vor kurzem mussten EU-Unternehmen und andere Akteure, die personenbezogene Daten in die USA übermitteln wollten, sicherstellen, dass das US-Unternehmen, mit dem sie Daten austauschen wollten, auf der Liste des US-Handelsministeriums stand. Wenn jedoch eine nationale Behörde ein US-Unternehmen als Auftragsverarbeiter einsetzen wollte, reichte die Privacy-Shield-Zertifizierung an sich nicht aus. Es musste auch sichergestellt werden, dass das für die betreffenden Behörden geltende Datenschutzrecht eingehalten wurde.

Die Unternehmen verpflichteten sich bei ihrer Anmeldung zu den folgenden vier Grundsätzen:

Datensparsamkeit

Datenverarbeitung mit Zweckbindung

Beantwortung von Beschwerden innerhalb von 45 Tagen.

Zusammenarbeit im Falle einer Untersuchung

Personen in der EU, deren personenbezogene Daten an ein US-Unternehmen übermittelt werden, haben folgende Rechte:

Recht auf Information;

Möglicherweise das Recht, der Datenverarbeitung zu widersprechen;

Recht auf Information;

Recht auf Berichtigung unzutreffender Daten;

Möglichkeit des Löschungsrechts;

Verfahren für die Einreichung einer Beschwerde/Rechtsmittel;

Recht auf Einlegung von Rechtsmitteln bei der so genannten Ombudsperson.

Die Entscheidung des EuGH zum Privacy Shield: Was sind die Auswirkungen der Entscheidung des EuGH zum Datenschutzschild?

Nach einem Urteil des Europäischen Gerichtshofs ist der EU-US-Datenschutzschild nun obsolet: Das so genannte „Privacy-Shield-Urteil“ erklärte das Abkommen für nichtig. Die Begründung ist einleuchtend und knüpft zum Teil an einen langjährigen Kritikpunkt an: Laut EuGH dürfen US-Geheimdienste uneingeschränkt Daten über europäische Bürgerinnen und Bürger abgreifen.

Mit Datensicherheit hat das natürlich nichts zu tun. Das hinterlässt vor allem bei vielen Unternehmen einen schalen Beigeschmack, denn viele ehemals genehmigte interne Anwendungen sind plötzlich nicht mehr zertifiziert. Das gilt für Softwareanwendungen wie Microsoft, für Hosting-Server wie Amazon Web Services und für Cloud-Lösungen wie Dropbox, die im Geschäftsalltag häufig genutzt werden.

Unternehmen: Konsequenzen und Handlungsempfehlungen

Für die Unternehmen besteht nun dringender Handlungsbedarf. Die folgenden Punkte können dabei berücksichtigt werden:

Stellen Sie fest, welche Anwendungen Daten in die Vereinigten Staaten übermitteln oder für das Privacy Shield zertifiziert sind. Apps, die sich lediglich auf das Privacy Shield berufen, sind nicht mehr zulässig.

Einige US-Dienstleister lassen Sie sogenannte „Standard-Datenschutzklauseln“ unterschreiben. Wie der EuGH in seiner Stellungnahme bestätigt hat, bleiben diese wirksam, wenn der Verantwortliche prüft, ob der/die Empfänger der Daten das geforderte Sicherheitsniveau tatsächlich einhalten können. Wie diese Prüfung in der Praxis erfolgen soll, ist allerdings noch nicht abschließend geklärt. Dieser Ansatz wirft nicht nur neue Fragen für Unternehmen auf, sondern stellt auch die Datenschutzbeauftragten vor neue Herausforderungen.

Verbindliche Unternehmensregeln: Interne Datenschutzvorschriften, so genannte BCR, sind quasi verbindlich. Größere Unternehmen sind besser geschützt, wenn sie besondere Vereinbarungen mit Dienstleistern getroffen haben. Prüfen Sie, ob dies für Sie in Frage kommt.

Eine Möglichkeit, US-Dienste weiterhin zu nutzen, wäre die Verschlüsselung aller dorthin gesendeten personenbezogenen Daten mit einer sehr starken Verschlüsselung. Bedauerlicherweise bieten die meisten Tools diese Option nicht an.

Zustimmung: Wenn die betroffene Person ausdrücklich eingewilligt hat, können Daten in die Vereinigten Staaten übermittelt werden. Diese Methode ist jedoch sehr zeitaufwendig und kann nur von Fall zu Fall durchgeführt werden. Außerdem muss die betroffene Person vor der Übermittlung der Daten benachrichtigt werden. Außerdem muss geklärt werden, welche Risiken bestehen, wenn Ihre Daten in ein Land übermittelt werden, das nicht über ein DSGVO-konformes Sicherheitsniveau verfügt (Art. 49 Abs. 1 S.1 lit. a DSGVO).

In einigen Situationen kann die Übermittlung personenbezogener Daten in ein Nicht-EU-Land durch die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen gerechtfertigt sein (Art. 49 Abs. 1 S.1 lit. b DSGVO). Dies betrifft jedoch nur ausgewählte Vorgänge, wie z.B. eine Hotelbuchung in den Vereinigten Staaten. In jedem Szenario ist jedoch eine Einzelfallprüfung erforderlich.

Europäische Alternativen: Es gibt europäische Alternativen zu zahlreichen Anwendungen, die personenbezogene Daten in die Vereinigten Staaten übermitteln, die den Vorschriften der Datenschutz-Grundverordnung unterliegen. Sie können eine sichere Alternative für Ihr Unternehmen in einer europäischen Cloud finden.

Ist ‚Privacy by design‘ oder ‚Privacy by default‘ die beste Option für Ihr Unternehmen?

17/06/2021 Keine Kommentare

Nach der Einführung der Datenschutz-Grundverordnung (DSGVO) mussten sich die Unternehmen entscheiden, wie sie die EU-Datenschutzverordnung einhalten wollten: mit dem „Privacy Approach by Design“ oder dem

mehr »

Wohin entwickelt sich das Datenschutzrecht im Vereinigten Königreich nach dem Brexit?

21/07/2021 Keine Kommentare

Die Übergangsfrist stellt sicher, dass die EU-Datenschutzvorschriften weiterhin für das Vereinigte Königreich gelten, wenn es ein EU-Mitgliedstaat ist. Der wichtigste Unterschied (der für Unternehmen unbedeutend

mehr »

DSGVO: Wie man eine Datenschutz-Folgenabschätzung erstellt – Teil 1

08/03/2021 Keine Kommentare

Die Allgemeine Datenschutzverordnung (DSGVO) legt fest, wie eine Agentur mit den personenbezogenen Daten von Bürgern der Europäischen Union (EU) umgehen darf. Nach der DSGVO muss

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

Das EU-US-Datenschutzschild: Was bedeutet die Entscheidung des EuGH für Unternehmen?

Was beinhaltete der EU-US-Datenschutzschild und welche Ziele wurden mit dem Datenschutzschild verfolgt?

Die Entscheidung des EuGH zum Privacy Shield: Was sind die Auswirkungen der Entscheidung des EuGH zum Datenschutzschild?

Unternehmen: Konsequenzen und Handlungsempfehlungen

Ist ‚Privacy by design‘ oder ‚Privacy by default‘ die beste Option für Ihr Unternehmen?

Wohin entwickelt sich das Datenschutzrecht im Vereinigten Königreich nach dem Brexit?

DSGVO: Wie man eine Datenschutz-Folgenabschätzung erstellt – Teil 1

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen