Der europäische Gerichtshof sorgt mit seinem jüngsten Urteil zum Privacy Shield für reichlich Aufregung. Die bisherige Vereinbarung zur Verarbeitung personenbezogener Daten zwischen Europa und den USA ist nun Geschichte. Das Urteil birgt gravierende Folgen für alle europäischen Unternehmen, die mit amerikanischen Betrieben und Kunden zusammenarbeiten.
Was ist der Privacy Shield?
Auch bekannt unter der genaueren Bezeichnung “EU-US Privacy Shield”, handelt es sich um eine Vereinbarung zwischen der Europäischen Union und den Vereinigten Staaten von Amerika. Eine zuständige Kommission handelte im Jahr 2016 einen Beschluss aus, der besagt, dass die amerikanischen Vorgaben zum Datenschutz dem europäischen Standard entsprechen.
Die Vereinbarung dreht sich insbesondere um den Transfer von Daten zwischen den Mitgliedsstaaten. Eine der vielen Voraussetzungen war auch, dass EU-Bürger die Möglichkeit einer Klage erhalten, sofern ihre Datenschutz-Rechte innerhalb der USA verletzt werden.
Derselbe Kläger vor dem EuGH
Eine weitere wichtige Hintergrund-Information ist die Tatsache, dass das Privacy Shield eine ehemalige, ähnliche Lösung ersetzte. Vor dem Jahr 2016 galt das sogenannte Safe Harbor (sicherer Hafen) Abkommen. Seinerzeit klagte ein Jurist aus Österreich vor dem europäischen Gerichtshof.
Besagter Jurist namens Maximilian Schrems wanderte nun erneut mit seiner Klage bis zur obersten Instanz. Hauptgrund für das Vorgehen gegen das Privacy Shield war offenbar, dass der Facebook-Konzern auf Basis von Standardklauseln Personendaten an die Mutterfirma in den USA übermittelt.
Diese Standard-Klauseln erfüllten nicht die Ansprüche der DSGVO, wohl aber die des Privacy Shields. Demzufolge war die Entscheidung des EuGH logisch: das Privacy Shield musste für nichtig erklärt werden.
Privacy Shield zu “standardisiert”?
Der EuGH sagt zwar, dass es grundsätzlich schon ausreicht, die monierten Standardklauseln einzuhalten. Sie gelten allerdings nicht als Alleinstellungsmerkmal. Es bedeutet, dass derselbe Datenschutz auch im Empfänger-Land Anwendung finden muss. Diesen Umstand hat der Empfänger entsprechend zu prüfen.
Alle für die Datenübertragung angewendeten Klauseln müssen demnach nicht nur den inhaltlichen Anforderungen des Privacy Shields entsprechen. Es muss zusätzlich sichergestellt sein, dass die Klauseln nicht nur anwendbar sind, sondern auch tatsächlich angewendet werden.
Um eine Privacy Shield Zertifizierung zu erhalten, genügte es bis dato, sich den gesetzlichen Anforderungen zu verpflichten und in eine Liste einzutragen. Durch eine schriftliche Zusicherung vonseiten des amerikanischen Büros für Nachrichtendienste ging man davon aus, dass die in den USA bekanntermassen strengen Überwachungsmassnahmen nicht für den Zugriff auf Daten von EU-Bürgern genutzt würden.
Privacy Shield von Anfang an unter starker Kritik
Das gesamte Abkommen stand schon von Anfang an unter keinem guten Stern. So stammen diverse Vereinbarungen beispielsweise aus der Zeit kurz vor der amerikanischen Präsidentschaftswahl. Aus einer weiteren Klageschrift ging hervor, dass das US-Recht in vielen Fällen immer noch vor dem europäischen stehe. Der Zugriff auf personenbezogene Daten soll zwar eine Ausnahme – beispielsweise aus Gründen der nationalen Sicherheit – sein, bleibt unter bestimmten Voraussetzungen aber dennoch möglich.
Genauso lehnten viele Bürgerrechtsorganisationen sowie Datenschützer das Privacy Shield vollständig ab. Die Kritik zielte vor allem auf den Umstand ab, dass das Abkommen kein wirkliches Gesetz, sondern ehe eine “Sammlung von Schriftstücken” sei. Ausserdem verfüge der neu aufgestellte Ombudsmann nicht über die erforderlichen Rechte, noch dazu sei er als Beamter des US-Aussenministeriums wohl kaum eine unabhängige Partei.
Folgen des Urteils
Alle Betriebe, die in irgendeiner Weise Daten auf Grundlage des Privacy Shields verarbeiten, müssen nun aktiv werden. Nachfolgend geben wir Ihnen einige weiterführende Tipps, wie Sie den Datenschutz mit Ihren Vertragspartnern sicherstellen.
- Die oben genannten Standardklauseln sind nach wie vor nicht grundsätzlich ungültig. Allerdings ist zu prüfen, ob im Drittland gleichwertige und wirksame Rechte bestehen. Ist dies nicht der Fall, sind EU-Standardklauseln die bessere Alternative.
- Glücklicherweise gibt es für betroffene Unternehmen eine Übergangsfrist. Nutzen Sie diese weise, um eventuell betroffene Prozesse und Datenflüsse zu identifizieren und entsprechend umzustellen.
- Sofern die Option besteht, ist die Verschlüsselung von Personendaten vor der Übertragung ein ebenso rechtssicherer Weg.
- Eine genauso rechtsgültige Option ist die vorherige (und ausführliche!) Einwilligung der Personen über die Verarbeitung ihrer Daten.
