open search
close
Datenschutz Neueste Beiträge

Ende für Privacy Shield: Karten für transatlantische Datenübermittlung neu gemischt

Print Friendly, PDF & Email

Nachdem der EuGH das Safe Harbour-Abkommen im Jahr 2015 für unwirksam erklärt hatte, schlossen die USA und die EU kurz darauf das sog. Privacy Shield-Abkommen, wonach die Übertragung von personenbezogenen Daten von der EU in die USA nunmehr rechtssicher geregelt werden sollte. Das Abkommen wurde von einigen Datenschutzexperten von Beginn an kritisiert, da es – in gleichem Maße wie das Safe Harbour-Abkommen – keine sichere Grundlage für eine transatlantische Datenübermittlung bieten würde. Der EuGH sieht das offenbar genauso.

Worum geht es in der Entscheidung?

Das aktuelle Urteil des EuGH (hier geht’s zur Pressemitteilung) geht – wie bereits die Entscheidung über das Safe Harbour-Abkommen – zurück auf eine Beschwerde des österreichischen Juristen und Netzaktivisten Max Schrems. Dieser sieht in der Übertragung seiner Facebook-Daten von Irland in die USA einen Verstoß gegen europäisches Datenschutzrecht, da Facebook in den USA nicht dasselbe Schutzniveau für seine Nutzerdaten gewährleisten könne wie in der EU. Dies liege insbesondere an den weitreichenden Eingriffsrechten, die US-Behörden (z.B. FBI und NSA) gegenüber Unternehmen mit Blick auf persönliche Daten von Nutzern bzw. Kunden durchsetzen können. Das Gericht hat in diesem Zusammenhang das Privacy Shield-Abkommen zwischen der EU und den USA für unwirksam erklärt. Eine Datenübermittlung auf Basis sogenannter Standardvertragsklauseln hat es dagegen dem Grunde nach für wirksam erachtet.

Datenübermittlung EU/USA: Privacy Shield versus Standardvertragsklauseln

Bei der Datenübermittlung zwischen der EU und den USA gibt es unterschiedliche Wege, um den Erfordernissen der strengen Datenschutzvorschriften der EU zu genügen. Zum einen ist es möglich, sogenannte Standardvertragsklauseln zu vereinbaren, die von der europäischen Kommission mit Beschluss 2010/87 zur Verfügung gestellt wurden. Diese Klauseln regeln die Rechte und Pflichten des Datenexporteurs in der EU sowie des Datenimporteurs in den USA und beinhalten durchsetzbare Rechte und wirksame Rechtsbehelfe zugunsten der betroffenen Person. Demgegenüber konnten sich bis zuletzt Unternehmen zur wirksamen Datenübertragung auch dem Privacy Shield unterwerfen: Im Wege einer Selbstzertifizierung verpflichten sich hierbei Unternehmen zur Einhaltung der Regelungen des Privacy Shield-Abkommens, welche die rechtskonforme Übermittlung von personenbezogenen Daten aus der EU in die USA betreffen. Der EuGH kam nun aber zu dem Ergebnis, dass das Privacy Shield-Abkommen den Anforderungen der DSGVO nicht genügt. Nach Ansicht der Richter räumt das Abkommen den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang ein, sodass beispielsweise US-Behörden auf personenbezogene Daten zugreifen und diese verwenden können. Mit Blick auf das vom Unionsrecht verlangte vergleichbare Schutzniveau des Drittstaates, in welchen die personenbezogenen Daten übermittelt werden, hat der Gerichtshof dem Abkommen daher eine Absage erteilt.

Bleibt Weg über Standardvertragsklauseln möglich?

Im gleichen Atemzug haben die Richter die Möglichkeit der Nutzung von Standardvertragsklauseln zur rechtmäßigen Übermittlung von personenbezogenen Daten in die USA weiterhin für möglich erachtet. Allerdings macht der Gerichtshof hierbei eine wesentliche Einschränkung: In der Praxis muss gewährleistet sein, dass das vom Unionsrecht verlangte Schutzniveau eingehalten wird und die Übermittlung auf Grundlage der Standardvertragsklauseln ausgesetzt oder verboten wird, sofern gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist. Aus der Pressemitteilung geht hervor, dass die Richter diese Einschränkung bei der Verwendung von Standardvertragsklauseln allgemein (und nicht konkret für die transatlantische Datenübermittlung) heranziehen. Wenn die grundsätzlich datenschutzkonformen Standardvertragsklauseln nun die Übertragung von Daten in die USA regeln, stellt sich aber unweigerlich die Frage, wie der Datentransfer als rechtskonform eingestuft werden kann. Denn der EuGH ist in der vorliegenden Entscheidung schließlich zu dem Ergebnis gekommen ist, dass das US-Rechtssystem Zugriffsmöglichkeiten von US-Behörden auf personenbezogene Daten vorsieht, wodurch in den USA kein vergleichbares Schutzniveau wie in der EU gewährleistet ist.

Bedeutung für die Praxis und Aussicht

Unternehmen, die Daten zwischen der EU und den USA austauschen, können sich nach der vorliegenden Entscheidung des EuGH eindeutig nicht mehr auf das Privacy Shield-Abkommen berufen. Verstößt der transatlantische Datentransfer aber auch bei Verwendung von Standardvertragsklauseln gegen EU-Recht? Hier ist die Entscheidung weniger eindeutig. Dem Grunde nach seien die Klauseln weiterhin ein Weg zur rechtkonformen Übertragung von Daten in Drittstaaten. Ungeklärt ist jedoch, ob die Datenübertragung über Standardvertragsklauseln auch in die USA möglich bleiben soll. Es bleibt abzuwarten, inwieweit Datenschutzbehörden die konkrete Verwendung von Standardvertragsklauseln mit US-Unternehmen (insbesondere mit Blick auf das vergleichbare Schutzniveau) bewerten und in Zukunft den Datentransfer in die USA stärker beaufsichtigen. Unter Berücksichtigung der weitreichenden Eingriffsmöglichkeiten von US-Behörden in personenbezogene Daten von Unternehmen stellt sich darüber hinaus die Frage, ob der EuGH Standardvertragsklauseln bei Übertragung von Daten in die USA auch in zukünftigen Entscheidungen für wirksam erachtet.

9 beiträge

Alexander Steven




Alexander Steven unterstützt vor allem bei Kündigungsschutzverfahren, in der Gestaltung von Anstellungs-, Aufhebungs- und Abwicklungsverträgen sowie in der Beratung zu betriebsverfassungsrechtlichen Fragen.
Verwandte Beiträge
Datenschutz Neueste Beiträge

Kopie personenbezogener Mitarbeiterdaten – Keine Pflicht zur Herausgabe umfassender Unterlagen

Nach der DSGVO kann der Arbeitnehmer vom Arbeitgeber eine Kopie der personenbezogenen Daten verlangen, die Gegenstand der Verarbeitung durch den Arbeitgeber sind. Die Reichweite dieses Anspruchs ist nach wie vor umstritten. Eine Klärung durch das BAG ist bislang nicht erfolgt. Nun hat sich das ArbG Bonn (Urteil vom 16.07.2020 – 3 Ca 2026/19) gegen ein weites Verständnis des Anspruchs ausgesprochen und klargestellt, dass nur die…
Betriebsrat Datenschutz Kollektivarbeitsrecht Mitbestimmung Neueste Beiträge

Datenschutz-Folgenabschätzung – zwingender Bestandteil einer „IT-Betriebsvereinbarung“?

Mit der rasant fortschreitenden Digitalisierung sind zwei Themen aus arbeitsrechtlicher Sicht von dauerhafter und erheblicher Bedeutung: Das Recht des Mitarbeiterdatenschutzes und die Mitbestimmung des Betriebsrats bei der Einführung und Anwendung von „technischen Einrichtungen“ im Sinne des § 87 Abs. 1 Nr. 6 BetrVG. Einigkeit besteht dahingehend, dass die Betriebsparteien bei der Wahrnehmung des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG die Vorgaben der…
Datenschutz Neueste Beiträge

Rekord-DSGVO-Bußgeld für die Modekette H&M

Der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar hat gegen die Modekette H&M ein Bußgeld von € 35,3 Mio verhängt. In der Nürnberger Filiale der Modekette war seit Jahren das Privatleben von Beschäftigten systematisch ausgespäht worden. Bereits im Oktober 2019 war bekannt geworden, dass in der Nürnberger Filiale von H&M Führungskräfte sogenannte Welcome-Back-Gespräche mit Beschäftigten geführt hatten, die aus Urlaub oder Krankheit zurückkehrten. Dabei wurden u….
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.