14 min Zuletzt auktualisiert: 21.04.2023

EU-US Privacy Shield vom EU-Gericht für ungültig erklärt

Am 16. Juli 2020 erklärte der Europäische Gerichtshof das von 2016 beschlossene EU-US-Datenschutzschild für ungültig.

Anstoßgeber für die Aufhebung des Privacy Shield Abkommen ist Max Schrems, österreichischer Datenschutzaktivist. Als Beschwerdeführer des Prozesses hat er mit diesem Urteil in dem seit 2013 andauernden Verfahren gegen Facebook nun einen deutlichen Sieg zu verzeichnen.

Grund für das Urteil ist laut EuGH, dass das Datenschutzniveau in den USA nicht gleichrangig mit dem der Europäischen Union sei. Die Schutzwürdigkeit personenbezogener Daten genießt demnach in den USA nicht den gleichen Datenschutz Standard wie in Europa durch die DSGVO geregelt.

Aus aktuellem Anlass erklären wir, was es mit dem EU-US Privacy Shield auf sich hat, warum es wichtig für europäische Unternehmen ist und welche Auswirkungen das EuGH-Urteil zum Privacy Shield Abkommen für Ihr Unternehmen hat.

Was ist das Privacy Shield?

Das Privacy Shield bezeichnet ein EU-US Datenschutzabkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika.

Inhalt des Abkommens sind eine Reihe von Zusicherungen der US-amerikanischen Bundesregierung und ein Angemessenheitsbeschluss der EU-Kommission. Seit dem Beschluss des 12. Juli 2016 konnte das Übereinkommen angewendet werden.

Mit der Einführung der DSGVO wurde die Verarbeitung personenbezogener Daten außerhalb der EU verboten, solange in den sog. “Drittländern” kein gleichwertiges Datenschutzniveau Anwendung findet. Neben Ländern wie der Schweiz, Neuseeland oder Japan sind die USA eines dieser Drittländer, das mit dem Privacy-Shield Abkommen die Einhaltung des EU-Rechts im Datenschutz zugesichert hat.

Was regelt es?

Im Fokus des Privacy Shield steht insbesondere der Schutz personenbezogener Daten, die aus einem Mitgliedstaat der Europäischen Union in die USA übertragen werden. Demnach haben amerikanische Unternehmen europäische Grundsätze des Datenschutzes einzuhalten und Behörden haben nur beschränkten Zugriff auf Daten zu gewähren. Außerdem sollen wirksame Aufsichtsmaßnahmen auf Seiten der amerikanische Seite vorgenommen werden, um Unternehmen zu kontrollieren und, falls nötig, zu sanktionieren. Weiterhin hat die amerikanische Regierung über das Büro des Nachrichtendienstes zugesichert, den Zugriff auf personenbezogene Daten von EU-Bürgern aus Gründen der nationalen Sicherheit klaren Beschränkungen und Garantien zu unterwerfen.

Hintergrund: “Schrems I”-Urteil und Safe-Harbor

Bereits 2013 initiierte Max Schrems ein Verfahren gegen den Social-Media Riesen Facebook. Er rügte damals die Weitergabe personenbezogener Daten von Facebook in die Vereinigten Staaten. Seiner Aussage nach böte die Rechtsauffassung in den USA keinen hinreichenden Schutz der transferierten Daten vor den Überwachungen der US-Behörden.

In diesem Verfahren entschied der Europäische Gerichtshof bereits im Sinne von Schrems und erklärte daher die sog. “Safe-Harbor”-Entscheidung der EU-Kommission für unwirksam.

Damals versäumte der Gerichtshof jedoch, eine Untersuchung des Datenschutzniveaus in den USA miteinfließen zu lassen. Damit blieb die Frage offen, ob in den USA eine hinreichende Einhaltung der Grundrechte im Hinblick auf den Datenschutz europäischer Bürger gegeben sei.

Aus diesem Grund erwirkte Max Schrems in der Folge ein weiteres Verfahren, dass dieser Frage nachgehen sollte. In diesem Zusammenhang steht nun das aktuelle Urteil des EuGH

Warum wurde das Privacy Shield für ungültig erklärt?

Im Urteil vom 16.07.2020 bezieht sich der oberste EU-Gerichtshof auf die Überwachungsprogramme der NSA und anderer Geheimdienste in den USA. Die amerikanischen Rechtsvorschriften würden die Überwachungsprogramme nicht im ausreichenden Maß beschränken und entsprächen nicht den Anforderungen der europäischen Datenschutzgrundverordnung. EU-Bürger könnten sich nicht gegen Prüfungsrechte der US-Behörden wehren, da Datenzugriffe bei elektronischen Kommunikationsdienstleistern bei Nicht-US-Bürgern auch ohne gerichtlichen Beschluss und Rechtsschutz erlaubt sei.

Ein weiterer Grund, der die Richter von der Nichtigkeit des Privacy Shields überzeugt hat, bezieht sich auf Art. 47 der Europäischen Grundrechte-Charta. Danach heißt es, dass jedem EU-Bürger ein wirksamer Rechtsbehelf zustehen muss.

Nach Ansicht des Europäischen Gerichtshofs liegen daher die Voraussetzungen des Privacy Shield nicht mehr vor. Deshalb ist die Verarbeitung personenbezogener Daten von EU-Bürgern bis auf Weiteres verboten worden.

Standardvertragsklauseln nicht mehr ausreichend?

Entgegen der Berichterstattung vieler Medien sind auch Standardvertragsklauseln allein nicht mehr ausreichend, um den Datentransfer in die USA zu rechtfertigen.

Dabei ist Problem nicht ausschließlich auf die USA beschränkt. Vielmehr muss jedes Unternehmen beim Export von personenbezogenen Daten in Drittländer prüfen, ob der Datenempfänger die Vorgaben der Standardvertragsklauseln einhalten kann. Teil der Prüfung ist auch, ob der Datenempfänger von den Sicherheitsbehörden in seinem Land veranlasst werden kann, Daten herauszugeben. Somit würden die Rechte der Betroffenen verletzt werden, die nach dem Urteil des EuGH jedoch zwingend gewahrt werden müssen. Sofern die Vorgaben des EuGH nicht eingehalten werden, wäre ein Export personenbezogener Daten auch auf Grundlage der Standardvertragsklauseln unzulässig und könnte mit einem Bußgeld belegt werden. Darüber hinaus weist der EuGH ausdrücklich darauf hin, dass bei Verstößen zusätzlich die Betroffenen Schadensersatzansprüche gegen den Datenexporteur wegen Verletzung ihrer Datenschutzrechte haben können.

Zwar können Unternehmen sich vorerst auf bestehende Standardvertragsklauseln berufen, genießen damit aber keinen vollständigen Rechtsschutz. Schließlich beruhen auch die Standardvertragsklauseln auf der Annahme, dass im verarbeitenden Drittland ein vergleichbares Datenschutzniveau herrscht, wie in der Europäischen Union.

Was sind Standardvertragsklauseln?

Bei den Standardvertragsklauseln handelt es sich um Verträge, die sowohl vom Exporteur als auch vom Importeur personenbezogener Daten unterzeichnet werden.

Standardvertragsklauseln haben das Ziel, personenbezogene Daten, die in Drittländern verarbeitet werden, durch vertragliche Verpflichtungen im Einklang mit den Anforderungen der DSGVO zu schützen. Standardvertragsklauseln finden für Länder Anwendung, von denen angenommen wird, dass sie keinen angemessenen Schutz der Rechte und Freiheiten der Betroffenen bieten. Standardvertragsklauseln sind im Bereich des Datenschutzes besonders wichtig, da sie zu einem harmonisierten Ansatz beitragen, der die grenzübergreifende Verarbeitung von Daten betrifft. Somit dienen Standardvertragsklauseln der konsequenten Umsetzung der spezifischen Bestimmungen, die durch die DSGVO festgelegt worden sind.

Was bedeutet das für Unternehmen in der Praxis?

Für viele Unternehmen gilt nun Vorsicht. Es heißt abzuwarten, was ein erneutes Abkommen für Handlungsoptionen mit sich bringen wird.

Bis dahin sollten Sie folgende Möglichkeiten in Betracht ziehen:

  1. Fragen Sie US-Anbieter nach der Verwendung von EU-Servern (auch wenn selbst diese Option nur bedingte Compliance mit dem Urteil bietet. Mehr zu EU-Servern und dem CLOUD Act im weiteren Verlauf).
  2. Versuchen Sie, keine US-Dienstleister zu nutzen, die personenbezogene Daten in den USA verarbeiten. Alternativen sollten nachweislich geprüft werden.
  3. Erfragen bzw. überprüfen Sie Standardvertragsklauseln (doch auch diese Lösung bietet keine absolute Rechtssicherheit, siehe unten).
  4. Versuchen Sie über Cookie Banner und ähnliche Instrumente Einwilligungen der Kunden einzuholen, indem Sie auf den Einsatz von US-Dienstleistern verweisen.
  5. Passen Sie Ihre Verträge und Datenschutzerklärungen an. Entfernen Sie den Hinweis auf das Privacy Shield.

Tiefergehende Informationen und Tipps finden Sie auch hier.

Welche Unternehmen sind betroffen?

Das Urteil trifft vor allem kleine Unternehmen und den Mittelstand. Diesen Unternehmen ist es oft nicht möglich, in kurzer Zeit auf diese grundlegenden Änderungen zu reagieren und entsprechende Maßnahmen zu ergreifen.

Für Konzerne ist dagegen eine kurzfristige Sonderregelung zu erwarten, die den Datentransfer über den Atlantik weiterhin ermöglicht.

Achtung bei der Wahl von US-Dienstleistern

Durch das EuGH-Urteil ist die Verarbeitung von Daten durch einige der größten amerikanischen Dienstleister unmittelbar betroffen. Dazu gehören neben Facebook auch jegliche Dienste von Google sowie Videokonferenz-Tools wie Zoom und Skype for Business.

Selbst wenn diese Firmen Server innerhalb der Europäischen Union betreiben, ist eine Konformität mit der DSGVO nicht zwangsläufig gegeben. Schließlich handelt es sich bei den deutschen Sitzen von Google, Skype, Hubspot & Co. noch immer um Tochtergesellschaften der amerikanischen Unternehmen. Nach dem 2018 in Kraft getretenen US CLOUD Act gilt, dass US-Behörden auch Zugriff auf im Ausland gespeicherte Daten erhalten dürfen, wenn die betroffenen Server von US-Unternehmen oder auch Tochtergesellschaften betrieben werden.

Abhilfe schafft hier die Nutzung von Cloud Anbietern, die durch entsprechende technische Maßnahmen selbst keine gespeicherten Daten einsehen können. Uniscon, eine Tochter von TÜV Süd, ist einer dieser Anbieter. Aufgrund der technischen Voreinstellungen werden die gespeicherten Daten so verschlüsselt, dass auch Uniscon selbst die Daten nicht auslesen kann. Im Falle von Zugriffsversuchen durch US-Behörden sind personenbezogene Daten nicht einsehbar und entsprechend geschützt.

Potentielle Rechtsfolgen für Unternehmen

Solange sich die US-Regierung nicht dazu entschließt, das Datenschutzniveau deutlich zu erhöhen und europäischen Standards anzupassen, ist der Datentransfer über den Atlantik laut EuGH-Urteil nicht rechtmäßig. Ähnlich wie bei “regulären” Strafen gegen die Datenschutzgrundverordnung, sind bei Missachtung des aktuellen Urteils Bußgeldstrafen für Unternehmen möglich.

Datenschutzbehörden können bei unzulässiger Datenübertragung in die USA eine Unterlassung verlangen. Darüber hinaus ist eine Bußgeldzahlung bis zu 4% das Jahresumsatzes möglich. Ob der aktuellen Rechtsunsicherheit sind derartige Abmahnungen allerdings eher unwahrscheinlich.

Neben den Aufsichtsbehörden können auch betroffene Nutzer, Wettbewerber oder Verbraucherschutzorganisationen Abmahnungen gegenüber Unternehmen aussprechen. Damit einher geht insbesondere die Gefahr, dass Unternehmen Schadensersatzzahlungen leisten müssen. Zwar ist auch dieses Risiko einer Abmahnung durch Wettbewerber eher gering, da auch Wettbewerber Schwierigkeiten bei der Umsetzung des Urteils haben werden. Dennoch ist diese Gefahr real.

Abmahnungen durch Verbraucher beschränken sich derzeit auf etwa 500-1500€ und steigen bei erneuten Verstößen, also Fortsetzung unerlaubten Datentransfers, auf ca 2.500 – 5.000€ an.

Alles in allem gelten damit ähnliche Bußgeld Regelungen wie bereits im Vorfeld des aktuellen EuGH-Urteils. Unternehmen sollten sich mögliche Rechtsfolgen jedoch vor Augen führen und in ihren Überlegungen berücksichtigen. Es gilt nun für Unternehmen, Strategien zu erarbeiten, die die korrekte Verarbeitung von personenbezogenen Daten durch US-Dienstleister innerhalb der EU gewährleisten. Eine entsprechende Rechtsberatung durch Anwälte mit Schwerpunkt auf IT- und Medienrecht ist hierzu unerlässlich.

Doch auch die Politik ist nun in Zugzwang geraten und sollte sich dringend mit der entstandenen Rechtsunsicherheit auseinandersetzen. Es müssen klare Anforderungen formuliert werden, damit Unternehmen dem aktuellen EuGH-Urteil Folge leisten können, ohne dafür jegliche Geschäftsbeziehungen mit datenverarbeitenden US-Unternehmen aufgeben zu müssen.

So erreichen Unternehmen DSGVO-Konformität

Das aktuelle Urteil und die daraus folgenden Einschränkungen für Geschäftsbeziehungen zwischen europäischen und amerikanischen Unternehmen ist eine Erinnerung daran, welchen Stellenwert der Schutz personenbezogener Daten in Europa eingenommen hat.

Es wird deutlich, dass die Relevanz des Datenschutzes nicht nur für die direkte B2C Beziehung gilt, sondern auch mittelbar die B2B Geschäftstätigkeiten beeinflusst.

Somit hält das Thema Datenschutz zunehmend Einzug in das Bewusstsein von Unternehmen und Mitarbeitern und bildet sich als Teil des Arbeitsalltags heraus.

Fehlende Compliance mit den Anforderungen der DSGVO schadet Unternehmen aufgrund von Bußgeldern finanziell und beeinträchtigt gleichzeitig die öffentliche Außenwirkung für Geschäftspartner und Kunden.

Unternehmen haben verschiedene Möglichkeiten, die notwendige Compliance sicherzustellen. Um den gestellten Anforderungen gerecht zu werden ist es unverzichtbar, jeden einzelnen Mitarbeiter einzubinden. Nur so können die zu ergreifenden Maßnahmen einen höchstmöglichen Nutzen für Ihr Unternehmen erbringen.

Aus diesem Grund haben wir von lawpilots Datenschutz-Schulungen für Mitarbeiter entwickelt, die eine effektive Maßnahme darstellen, Unternehmen DSGVO-konform zu machen. Auf diese Weise haben Sie die Möglichkeit, auch in Ihrem Unternehmen ein notwendiges Bewusstsein für den Datenschutz über verschiedene Geschäftsbereiche hinweg zu etablieren.

Schauen Sie sich unsere Demo hier an und kontaktieren Sie unser Vertriebsteam bei konkreten Fragen zu Ihren individuellen Bedürfnissen.

Datenschutz für Mitarbeiter Banner

Unsere Auszeichnungen

DBA Siegel

Unsere Partner


lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6362191958496 von 5 Sternen 2570 Bewertungen auf ProvenExpert.com