Montag, 03 August 2020 11:33

Weitreichendes Urteil: EuGH erklärt Privacy-Shield-Abkommen für ungültig

Mitte Juli hat der Europäische Gerichtshof die Datenschutzvereinbarung,....

Mitte Juli hat der Europäische Gerichtshof die Datenschutzvereinbarung, das sog. „Privacy Shield“, zwischen der Europäischen Union und der USA gekippt.

Informationen über europäische Verbraucher seien auf US-Servern nicht vor dem Zugriff dortiger Behörden und Geheimdienste geschützt, so die Luxemburger Richter.

Die Konsequenzen sind nicht nur für IT-Konzerne weitreichend. Was das Urteil für nahezu jeden Internet-User bedeutet und welche Schritte Unternehmer jetzt dringend einleiten müssen, um sich vor Bußgeldern durch unberechtigten Datentransfer in die USA schützen zu können, erfahren Sie in diesem Sondernewsletter.

Kein ausreichender Datenschutz in den USA
Anlass für den langjährigen und länderübergreifenden Rechtsstreit waren die – im Vergleich zu den deutlich strengeren Datenschutzbestimmungen der EU – nahezu laschen Sicherheitsregelungen der USA.

Nachdem der damalige Jura-Student Max Schrems 2015 bereits erfolgreich gegen facebook geklagt hatte, hat der Österreicher nun die zweite Vereinbarung zwischen der EU und den USA gekippt. Da europäische Daten nicht vor dem Zugriff der US-Geheimdienste geschützt seien, erklärten die Luxemburger Richter in ihrem Urteil, sei auch das Nachfolgeabkommen, der sogenannte „Datenschutzschild“ bzw. „Privacy Shield“ ungültig. Das von der DSGVO geforderte Schutzniveau bei der Übertragung von Daten europäischer Nutzer/innen könne derzeit nämlich nicht gewahrt werden.

Zwar wurden vor Jahren Standards zur Einhaltung des Datenschutzes formuliert, die Umsetzung dieser Prinzipien in der Praxis letztlich aber nicht kontrolliert. Ohne richterlichen Beschluss und ohne das Wissen der Betroffenen durften US-Geheimdienste die Daten europäischer Nutzer/innen durchforsten und auslesen. Dies umfasst personenbezogene Daten, wie Name, Standort, IP-Adresse, aber auch zum Beispiel in „Clouds“ hochgeladene Dokumente. Der EuGH befand, dass das Auslesen und Abgreifen der Daten durch geltende Regelungen nicht verhindert werde, die Privatsphäre und somit unsere Grundrechte also nicht geschützt werden.

Was müssen Unternehmen jetzt dringend tun?
Prüfen Sie die Datenschutzerklärung Ihrer Webseite und passen Sie die Formulierungen an, falls der Datentransfer auf das Privacy-Shield-Abkommen gestützt war. Im Zuge dessen ist ebenfalls die Zustimmung des Besuchers der Webseite, etwa durch eine Checkbox im Consent-Banner der Webseite, einzuholen.

Unternehmen müssen sich außerdem darüber Klarheit verschaffen, welche US-Anbieter und Plattformen sie im Alltagsgeschäft nutzen und anschließend prüfen und sicherstellen, dass die Grundsätze des europäischen Datenschutzrechtes im Zielland auch tatsächlich eingehalten werden. Es darf also nur dann eine Datenübermittlung stattfinden, wenn sowohl der Daten-Vermittler als auch der -Empfänger ein „angemessenes Datenschutzniveau“ (d.h. entsprechend der EU-Standards) gewährleisten, anderenfalls drohen hohe Bußgelder. Sollte kein angemessenes Datenschutzniveau gewährleitet werden können, ist der Besucher der Webseite hierüber aufzuklären und seine Zustimmung zur Weiterleitung seiner persönlichen Daten einzuholen.

Hier einige der am häufigsten eingesetzten US-Anbieter und Plattformen:
Social Media (u.a. facebook und Twitter), Trackingdienste, AD Network (Google), Newsletter-Anbieter, Musik- und Videoplattformen (z.B. YouTube, Spotify), Videokonferenz-Tools (u.a. zoom, skype for business, Microsoft Teams) oder auch Google Maps.
Mit dem Wegfall des Privcy Shield für transatlantische Datenübertragung fehlt aktuell tausenden Unternehmen die bisherige Möglichkeit, transatlantische Datenübertragungen durchzuführen. Für sie ist es von enormer Bedeutung, schnellstmöglich alternative Abläufe in ihrer Datenverarbeitung einzuführen oder auf andere Verfahren umzusteigen.

Wir unterstützen und beraten Sie bei der Umsetzung der erforderlichen Schritte, sprechen Sie uns hierauf gerne an!
GeilerLorenzen

RA Patrick Geißler LL.M.        RA Vincent Lorenzen

 

audalis Schick Struß & Partner - Rechtsanwälte PartG mbB
Charlottenstraße 65, 10117 Berlin-Mitte
Tel. (030) 206137270
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!