Das Aus für das Privacy Shield und die Folgen

Vor etwas mehr als einem Monat hatte der EuGH das Abkommen „Privacy Shield“ für unwirksam erklärt und damit der Datenübertragung aus der EU in die USA eine wichtige Rechtsgrundlage entzogen. Seitdem ist die Übermittlung personenbezogener Daten an US-Firmen auf der Grundlage dieses Abkommens rechtswidrig.

Für betroffene Unternehmen bedeutet das, dass sie zeitnah handeln sollten. Denn das Urteil ruft Datenschützer und Aufsichtsbehörden auf den Plan. Sie haben bereits angekündigt, dass es keine Übergangsfrist gibt und Unternehmen ihre Prozesse zügig umstellen müssen. Anderenfalls drohen Bußgelder, ggf. auch Schadenersatzforderungen.

Alternativ zum Privacy-Shield-Abkommen können Unternehmen zwar grundsätzlich weiterhin auf EU-Standardvertragsklauseln (SVK) ausweichen und sie zur Grundlage des Datentransfers in die USA machen. Doch auch hier gilt, dass das Datenschutzniveau der EU eingehalten werden muss. D.h. die Beteiligten müssen genau prüfen und sicherstellen, dass im Exportland nur in dem Rahmen staatlich auf die übermittelten Daten zugegriffen wird, wie es mit europäischem Recht vereinbar ist.

Auch wenn die SVKs also eine Möglichkeit sind, die Datenübermittlung in die USA aufrecht zu erhalten: das Aus für das Privacy Shield ist ein erheblicher Einschnitt und sorgt für viel Unsicherheit und rechtliche Unwägbarkeiten. Will man ganz sicher gehen und sämtliche Risken ausschließen, bleibt nur, auf US-Datenverarbeiter komplett zu verzichten.

Doch das ist für viele, gerade kleinere Unternehmen schwierig und auf die Schnelle kaum umzusetzen. Daher gibt es auch durchaus kritische Stimmen zur Entscheidung des EuGH. Auch, weil eben keine Übergangsfrist eingeräumt wird. Demnach müssten theoretisch ab sofort gegen viele europäische und auch deutsche Unternehmen Bußgelder verhängt werden.

Die ersten Beschwerden von Datenschutzorganisationen gegen deutsche Unternehmen gibt es bereits. So hat die Datenschutzorganisation NOYB 101 Beschwerden über europäische Unternehmen bei den jeweils zuständigen Aufsichtsbehörden eingereicht. Wie Analysen ergeben habe, übermitteln alle noch Daten an Google oder Facebook, über die Dienst Google Analytics oder Facebook Connect. Auch deutsche Webseiten sind darunter. Dabei richten sich die Beschwerden aber nicht nur gegen die europäischen Unternehmen sondern auch direkt gegen Google und Facebook.

Das Thema bleibt also akut. Vor allem ist nun die Frage, wie die Aufsichtsbehörden reagieren werden. Fortsetzung folgt.

Sie haben noch Fragen?
Sie sind unsicher, ob das Urteil Sie betrifft und welche Auswirkungen es wogmöglich hat? Sie setzen US-Datenverarbeiter ein und suchen Alternativen? Sie brauchen Hilfe bei der Umstellung? Wenden Sie sich gern an uns, wir finden eine Lösung.

Bild:
Auf der Grundlage von:
Wikimedia Commons. Created by Gunter Küchler / Berlin using Inkscape (Own work) [Public domain].
Wikimedia Commons. By User: Verdy p, User: xfi, User: Paddu, User: Nightstallion, User: Funakoshi, User: Jeltz, User: Dbenbenn, User: Zscout370 [Public domain].

Legal, Privacy