Dieser Artikel ist eine Zusammenfassung meines letzten Newsletters. → Melden Sie sich für den Newsletter „Frischer Wind“ an!
Mit einem lachenden und einem weinenden Auge sehe ich, wie das Privacy Shield durch den EuGH für ungültig erklärt wird. Lachend, weil es ein Erfolg ist für den Datenschutz, weinend, weil es zu spät passiert, einen Mehraufwand für Unternehmen bedeutet und in dieser Form nie in Kraft hätte treten dürfen.
Das Privacy Shield ist ein Abkommen zwischen den USA und Europa als Zusatz zur DSGVO, die nur in Europa Gültigkeit hat. Es sind Rahmenbedingungen, unter die sich US-amerikanische Unternehmen freiwillig unterwerfen können, um ein hohes Datenschutzniveau zu garantieren. Die US-amerikanischen Behörden verpflichteten sich zu weniger Datenzugriffen durch Behörden bei diesen zertifizierten Unternehmen.
Unternehmen, die sich dem Privacy Shield verschrieben, waren unter anderem Google, Microsoft, Facebook, Twitter, aber auch MailChimp.
Nun hat – auf Drängen von Datenschutzexperte Max Schrems @maxschrems (NOYB @noybeu) – der Europäische Gerichtshof das Abkommen für ungültig erklärt. Bereits 2015 schob der EuGH auf Drängen von Max Schrems dem Safe-Harbor-Abkommen einen Riegel vor. Auch das Privacy Shield als sein Nachfolger ist hiermit Geschichte.
→ Pressemitteilung EuGH
Warum reicht das Privacy Shield nicht?
Die Begründung des EuGHs bezieht sich auf fehlende Schutzmechanismen und Durchsetzungsrechte. Vereinfacht gesagt hatten geheimdienstliche Institutionen und die Regierung noch immer genügend Möglichkeiten, Datenzugriffe zu rechtfertigen.
„US-Behörden stehen Prüfungsrechte zu, ohne dass EU-Bürger sich dagegen wehren können.“
Dr. Schwenke (21.7.): EuGH: EU/US-Privacy Shield ist unwirksam – Was Unternehmen jetzt wissen müssen
Was bedeutet das für Unternehmen in Europa?
Mit der Ungültigkeitserklärung ist der Transfer von personenbezogenen Daten in die USA mehr oder weniger untersagt.
„Wenngleich dies faktisch kaum umsetzbar und wirtschaftlich jedenfalls herausfordernd sein wird, ist dies das rechtsrichtige Ergebnis.“
Die Europäische Kommission hat Angemessenheitsbeschlüsse mit den Ländern Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz und Uruguay. In allen anderen Ländern existieren nur sog. Standardklauseln (Standard Contract Clauses, SCC), was bedeutet, dass das Unternehmen mit Sitz in der EU stärker in der Verantwortung steht und sich um die einwandfreie Verarbeitung der Daten kümmern muss.
Die Presse (17.7.): Digitaler Lock-Down: Datentransfer in die USA (weitgehend) unzulässig
Was bedeutet das für Facebook?
Max Schrems freut sich über den Erfolg, der für ihn bedeutet, dass die USA ihre Datenschutzgesetze überarbeiten müssen, wenn sie weiterhin in Europa eine Rolle spielen wollen. Das Urteil nimmt die Behörden der USA, die Datenschutzbehörden und Unternehmen wie Facebook in die Pflicht.
Facebook, das wohl viele Kosten in die Abwendung der Klage gesteckt hat und von den Datenschutzbehörden bisher nicht in die Mangel genommen wurde, hat sich bisher auf die Standardklauseln berufen. Das wird so nicht mehr möglich sein.
NOYB: EuGH erklärt „Privacy Shield“ im US-Überwachungsfall für ungültig. SCCs können nicht von Facebook und ähnlichen Unternehmen genutzt werden.
NYOB: Background EU-US Data Transfers
NYOB: FAQ
Was muss ich als Unternehmen jetzt sofort tun?
Das Abkommen wurde sofort (16.7.) für ungültig erklärt, es gibt keine Übergangsfristen. Privatpersonen trifft diese Regelung sowieso nicht, als Unternehmen lohnt ein Blick ins Verarbeitungsverzeichnis, ob Dienste genutzt werden, die sich auf das Privacy Shield stützen. Notwendige Datenübermittlungen sind weiterhin legal, Verarbeitungen auf Basis einer klaren Zustimmung („freiwillig, spezifisch, informiert, eindeutig“) ebenso.
dialogMail (20.7.): FAQ zum Ende von Privacy Shield
Bleiben Sie sicher!
