Archive for Juli 2020

Nach Safe-Harbor auch EU-US-Privacy-Shield ungültig

Donnerstag, 16. Juli 2020

Es ist keine wirkliche Überraschung: Heute hat der Europäische Gerichtshof (EuGH) auch den Angemessenheitsbeschluss des EU-US-Privacy-Shields der EU-Kommission für ungültig geklärt.

Wir erinnern uns: In seiner Entscheidung vom 6.10.2015 hatte der EuGH schon das damalige „Safe-Harbor-Abkommen“ zwischen der EU und den USA zum Datenaustausch für ungültig erklärt. Die EU-Kommission hat darauf hin mit der damaligen US-Administration mit der heißen Nadel das EU-US-Privacy-Shield-Abkommen gestrickt, um den datenschutzkonformen Datenaustausch zwischen der EU und den USA wieder zu ermöglichen.

Fachleute waren sich damals sicher: Der EuGH würde auch dieses Abkommen kippen, da es den Datenschutz für EU-Bürger eben nicht sicher stelle. Doch die Anwender, US- und EU-Firmen hatten erst einmal Rechtssicherheit, es gab ja ein gültiges Abkommen.

Nun wurde heute vom EuGH auch das EU-US-Privacy-Shield-Abkommen gekippt, jegliche Datenübermittlung in die USA auf der Basis dieses Abkommens ist damit rechtswidrig und somit nicht zulässig.

Frage an die Politik

Für die Politik, sowohl die EU-Kommission als auch die US-Administration stellt sich nun die Frage, ob eine vernünftige und datenschutzkonforme Lösung ausgearbeitet wird und vor allem die USA akzeptieren, dass es nicht in Ordnung ist, wenn US-Behörden private Daten von EU-Bürgern nach belieben nutzen und EU-Bürger keine real umsetzbare Rechts- und Schutzmittel haben. Oder ob man wieder ein neues Abkommen mit Regelungen trifft, auf die man sich einigt, die jedoch in 5 Jahren erneut für rechtswidrig erklärt werden. Ich hoffe sehr, dass die EU hier diesmal konsequent verhandelt.

Folgen für Unternehmen und Organisationen

Datenübermittlungen in die USA auf der Basis des EU-US-Privacy-Shields sind sofort einzustellen. Wenn Sie als Unternehmen also z. B. Auftragsverarbeitungsverträge mit US-Firmen geschlossen haben, die die Datensicherheit auf Basis des EU-US-Privacy-Shields sicherstellen sollen, dürfen Sie keine Daten mehr an Ihre Auftragsverarbeiter in den USA übermitteln.

Wenn Sie die Datenübermittlung auf Basis der EU-Standardvertragsklauseln geregelt haben, dann dürften Sie im Prinzip weiter arbeiten. Aber … Der EuGH hat die EU-Standardvertragsklauseln nicht für unzulässig erklärt. Jedoch sind bei den EU-Standardvertragsklauseln die Auftraggeber verantwortlich, für jeden Datenexport, in diesem Fall in die USA, zu untersuchen, ob der Datenempfänger die mit den EU-Standardvertragsklauseln vereinbarten Regeln auch einhält und überhaupt einhalten kann. Grenzen ergeben sich hier aus im Zielland geltenden Gesetzen und Realitäten.

Auf Grund der in den USA geltenden Gesetze, nach denen Behörden auf personenbezogene Daten, insbesondere von nicht US-Bürgern zugreifen können und nach denen Unternehmen gezwungen werden können, teilweise unter Verhängung eines „Schweigegebotes“, Daten an US-Behörden herauszugeben, ist es fraglich, ob der Datenexporteur sicherstellen kann, dass der Datenschutz gewährleistet ist.

Heikel ist somit generell eine Zusammenarbeit mit US-Firmen als Auftragsverarbeiter, auch wenn die Daten nach US-Firmenangaben in der EU gehalten werden. Die US-Administration steht auf dem Standpunkt, auch diese Daten müssten auf Anforderung an die US-Behörden herausgegeben werden, da die US-Firmen komplett der US-Gesetzgebung unterlägen.

Fazit

Aktuell kann man ein sehr kurzes Fazit zum praktischen Datenaustausch mit den USA und mit US-Firmen fassen, auch wenn die US-Firmen versprechen die Daten in der EU zu halten: Lassen Sie es.