Mit dem aktuellen Urteil des EuGH (16.7.2020 – C-311/18) ist das EU/US-Privacy Shield unwirksam und kommt einem Verbot der Datenverarbeitung in den USA gleich
Die DSGVO verbietet die Verarbeitung personenbezogener Daten ( pbD) außerhalb der EU, wenn in den so genannten “Drittländern” kein angemessenes Datenschutzniveau herrscht. Zu diesen Drittländern gehören vor allem die USA.
Mit dem Privacy-Shield-Zertifikat sollten pbD in den USA geschützt werden, bzw. sollte ein angemessenes Datenschutzniveau für europäische Daten in den USA sicherstellen. Voraussetzung war, dass US-Unternehmen sich verpflichteten auf Grundlage des so genannten EU-USA-Privacy-Shield-Abkommens das EU-Recht zu beachten. Dieses Abkommen hat der EuGH nun für unwirksam erklärt.
Warum kein Datenschutz für EU-Bürger in den USA vorliegt
In den USA stehen US-Behörden Prüfungsrechte zu, ohne dass EU-Bürger sich dagegen wehren können. In dem EuGH-Verfahren C-311/18, auch bekannt als Schrems II, wird der Rechtsansicht von Max Schrems gefolgt, dass Datenzugriffe bei elektronischen Kommunikationsdiensten bei Nicht-US-Bürgern auch ohne einen gerichtlichen Beschluss erlaubt sind und somit Nicht-US-Bürger in den USA kein Recht auf Datenschutz genießen.
Welche Konsequenzen können daraus entstehen
Wenn sie weiterhin pbD in die USA übermitteln, können Datenschutzbehörden die Unterlassung der jeweiligen Dienste / Dienstleistern verlangen und sogar Bußgelder (bis in Höhe von 20 Mio. € oder 4% des Umsatzes eines Unternehmens) verhängen.
Welche Maßnahmen bieten Schutz
1.) Um den Datenschutz für Mitarbeiter, Kunden oder Liferanten zu gewährleisten, müssen sie sicherstellen, das „keine“ pbD (Art. 4 Nr. 1 DSGVO) in die USA gelangen.
- Keine Verwendung von Tools oder Webservices (z.B. Homepages oder Cloudservices), bei denen Daten-Auswertungen in den USA stattfinden (z.B. Google Analytics) oder andere personenbezogenen Daten auf Servern in den USA landen.
- Infrastructure as a Service (IaaS), Platform as a Service (PaaS) oder Software as a Service (SaaS) von US-Firmen ist nur dann möglich, wenn diese gewährleisten, dass pbD die EU „nicht“ verlassen.
2.) Alternativ müssen sie jeden Anwender anhalten explizit dem Verzicht auf Datenschutz zuzustimmen, was aus unserer Sicht keine echte Alternative ist.
(Beispiel: „Wir benötigen Ihre Einwilligung gem. § 15 Abs. 3 S. 1 TMG, um ihnen Inhalte anzuzeigen….. Wenn sie diese Inhalte laden, werden Ihre personenbezogenen Daten verarbeitet …… Indem sie den Inhalt laden, willigen sie zugleich gem. Art. 49 Abs. 1 S. 1 lit. a DSGVO ein, dass Ihre Daten in den USA, mit dem Risiko eines geheimen Zugriffs durch US-Behörden und Nutzung zu Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden können.“)
Einige Anbieter versichern, dass Daten auf EU-Servern gespeichert werden und diese nicht verlassen. (z.B. MICROSOFT)
Standardvertragsklauseln sind keine Lösung
Unserer Auffassung sind Standardklauseln von US-Anbietern keine Lösung, da sie nicht verhindern können, dass US-Behörden auf alle Daten zugreifen.
Falls sie auf der Suche nach alternativen sind, oder eine konkrete Evaluierung disbezüglich benötigen, stehen wir gerne zur Verfügung.