Juli 2020: EuGH kippt auch Privacy Shield
Bereits im Jahr 2015 hatte der Europäische Gerichtshof (EuGH) den vermeintlich sicheren Hafen (Safe Harbour) für den Transfer personenbezogener Daten zwischen den USA und Europa für ungültig erklärt. Am 16. Juli 2020 folgte nun auch der Stopp für das Nachfolgeabkommen Privacy Shield. Personenbezogene Daten europäischer Bürger sind nach Ansicht des EuGH nicht genügend vor dem Zugriff von US-Sicherheitsbehörden geschützt. Bei Übertragung personenbezogener Daten in ein Drittland muss nämlich ein Schutzniveau gewahrt sein, das dem der EU-Datenschutzgrundverordnung (DSGVO) entspricht. Da angesichts der Rechtslage in den USA, wie auch in vielen anderen Staaten außerhalb des EU-Raums, hiervon nicht ausgegangen werden könne, sei auch das Privacy Shield hinfällig, befand der EuGH.
Durch die Urteilsbegründung zu den staatlichen Eingriffsmöglichkeiten werden alternative Wege zur datenschutzrechtlichen Absicherung der Datenübermittlung in die USA wie Standarddatenschutzklauseln und unternehmensinterne Datenschutzvorschriften deutlich erschwert, wenn nicht gar unmöglich gemacht. Individuelle Einwilligungen weisen hohe Hürden auf und sind nicht als Lösung für regelmäßige Standardprozesse konzipiert. Als einzige rechtssichere Lösung erscheint derzeit die Speicherung und Verarbeitung personenbezogener Daten in der EU und nach DSGVO-Vorgaben.
Die Konsequenz: Erhebliche Rechts- und Reputationsrisiken
Eigentlich als Schlag gegen datenhungrige Social Networks wie Facebook & Co. gedacht, erweist sich das auch als „Schrems II“ in die jüngere Rechtsgeschichte eingegangene Urteil bei näherer Betrachtung als kurzfristig unüberwindbarer Graben im Kontinente-übergreifenden Handel. Gleichzeitig zwingt es nahezu alle Unternehmen im EU-Raum zum Handeln, wobei vielfach nicht oder nur unzureichend klar ist, wie genau der Handlungsbedarf zu umreißen ist, wo die größten Risiken lauern und mit welchen konkreten Maßnahmen die vom EuGH in nun überdeutlicher Klarheit formulierten Anforderungen für die Übermittlung personenbezogener Daten in die USA überhaupt erfüllt werden können.
Die einzige rechtssichere Lösung ist derzeit die Speicherung und Verarbeitung personenbezogener Daten in der EU und nach DSGVO-Vorgaben.
Dr. Jan Dörrwächter, Senior Partner hkp/// group
Im Ergebnis agiert ein Großteil der Unternehmen nicht im Einklang mit geltenden europäischen Gesetzen. Der Bundesdatenschutzbeauftrage hat bereits erklärt, dass es kein Moratorium seitens seiner Behörde geben kann und nach Ankündigung eines Landesschutzbeauftragten soll bei der Entscheidung über Sanktionen wegen unzulässiger Datentransfers berücksichtigt werden, ob es vergleichbare Alternativangebote ohne bedenklichen Datentransfer in die USA (oder den Datenzugriff dort) gibt.
Auch die Mitbestimmungsseite ist alarmiert. Es ist nur noch eine Frage der Zeit, bis Betriebsräte, besorgte Mitarbeitende oder Datenschutzaktivisten aktiv werden, um Schadensersatz zu verlangen, oder bis Aufsichtsbehörden gegen Verantwortliche Bußgelder verhängen. Damit drohen erhebliche Rechts- und Reputationsrisiken.