Sämtliche Unternehmen der deutschen Wirtschaft sind von der EuGH-Entscheidung zum EU-US „Privacy Shield“ betroffen und warten dringlich auf praktikable Lösungen und Hilfestellungen der politischen Entscheidungsträger und Aufsichtsbehörden, um künftig wieder einen rechtssicheren Datentransfer in Drittländer, vor allem in die USA, zu ermöglichen.
Das EuGH-Urteil
Der Europäische Gerichtshof hatte im Jahr 2020 das EU-US „Privacy Shield“ für ungültig erklärt (Urteil vom 16.07.2020, Az. C-311/18, "Schrems II"). Diese informelle Absprache zwischen den USA (durch Zusicherungen) und der EU (durch einen sog. Angemessenheitsbeschluss) ermöglichte den zu kommerziellen Zwecken erfolgenden Transfer von personenbezogenen Daten aus der EU an zertifizierte US-amerikanische Unternehmen.
Dem EuGH-Urteil zugrunde lag ein Rechtsstreit zwischen dem österreichischen Juristen Maximilian Schrems und der irischen Datenschutzbehörde über die Behandlung deutscher Nutzerdaten auf Facebook. Bereits den Vorgängerbeschluss „Safe-Harbour“ kippte der EuGH auf Initiative Schrems (Schrems I – EuGH, Urteil vom 6. Oktober 2015, Az. C‑362/14).
Nach „Schrems II“ ist die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield unzulässig und muss unverzüglich eingestellt werden. Bei einer Übermittlung von personenbezogenen Daten mittels SCCs muss künftig der Datenexporteur bewerten, ob für die von Transfer betroffenen Daten ein angemessenes Datenschutzniveau im Empfängerland gewährleistet ist: dabei geht es nicht um das allgemeine Datenschutzniveau im Empfängerland, sondern um das konkrete Schutzniveau für die übertragenen Daten.
Das Urteil führt letztendlich dazu, dass z.B. Dienstleistungen von Microsoft, Zoom etc. nicht mehr genutzt werden dürfen, wenn diese die Daten auf Servern in den EU-Mitgliedstaaten nicht wirksam vor dem Zugriff der US-Behörden schützen.
Verbändeinitiative
Da sämtliche Unternehmen der deutschen Wirtschaft von dieser EuGH-Entscheidung betroffen sind, hat sich der BDEW einer Verbändeinitiative angeschlossen, die für eine schnelle Nachfolgeregelung und maßvolle Umsetzung des EuGH-Urteils plädiert. Wenn die von der EU-Kommission etablierten EU-Standarddatenschutzklauseln als geeignete Garantien wegfallen würden, würde die Verantwortung für ein angemessenes Datenschutzniveau für die Verarbeitung personenbezogener Daten im Einzelfall einseitig auf den in der EU für die Datenverarbeitung Verantwortlichen verlagert.
Für Unternehmen, die auf einen Datentransfer in die USA angewiesen sind, bestünde dann ein erhebliches rechtliches Risiko. Daher fordert das Verbändepapier von der EU-Kommission, möglichst schnell eine wirksame Nachfolgeregelung zum Privacy-Shield mit den US-Behörden zu verhandeln und die EU-Standarddatenschutzklauseln zu verbessern.
Zusätzlich braucht es einheitliche Kriterien, die den Unternehmen Anhaltspunkte für ein zulässiges Vorgehen beim Datentransfer in Drittländer geben. Auch die in Art. 46, 47 DSGVO ausdrücklich vorgesehene Datenübermittlung in Drittländer auf Basis von Standarddatenschutzklauseln und Binding Corporate Rules muss zukünftig möglich sein.
Den ersten Verbändebrief vom 29.09.2020 finden Sie hier.
Erneuerung der Forderung nach einer dauerhaften politischen Lösung
Das Schrems II-Urteils des EuGH hat nach wie vor massive Auswirkungen auf die deutsche Wirtschaft. Da bis heute noch kein konkreter Regelungsvorschlag vorliegt, haben die Wirtschaftsverbände nun ihren Appell zu dauerhaften politischen Lösungen erneuert.
Diesen erneuten Appell vom 7.5.2021 finden Sie hier.
