Der EU Gerichtshof hat den Privacy Shield gekippt. Der Privacy Shield ist das von der EU Kommission ausgehandelte Nachfolgeabkommen, nachdem Safe Harbour gefallen war.
Halten wir fest:
Unsere Daten sind bei US-amerikanischen Unternehmen vogelfrei.
Der EU-Gerichtshof hat beschieden:
Beide Abkommen können das Datenschutzniveau der DSGVO nicht für die Verarbeitung der Daten außerhalb der EU garantieren.
Doch was folgt daraus? Was wird sich ändern?
Die zumeist vereinbarten Standardvertragsklauseln sind nicht direkt von dem Urteil betroffen, nur der Privacy Shield darf nicht mehr referenziert werden. Insofern wird sich zunächst nicht viel ändern.
Interessant bleibt die Frage, ob und wie die Anforderungen umgesetzt werden (können).
Die US-amerikanischen Sicherheitsgesetze bewerten das Schutzniveau des Staates höher als die Privatsphäre von (ausländischen) Personen. Zudem ist eine Durchsetzung der in der DSGVO festgelegten Rechte außerhalb der EU erschwert, wenn nicht sogar unmöglich. Insbesondere gegen die Massenüberwachung ist rechtlich kaum anzukommen, da dafür in der USA kein Rechtsweg existiert.
Es ist zu erwarten, dass es ein drittes Abkommen geben wird, damit die digitalisierten Geschäftsprozesse europäischer Unternehmen weiterhin von US-amerikanischen Unternehmen auch außerhalb der EU rechtlich korrekt betrieben werden können. Seitens der EU Kommission gibt es dazu aber bislang keine Verlautbarungen.
Aus der akuellen Pressemitteilung der BBDI:
„Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die –insbesondere bei der Nutzung von Cloud-Diensten –personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.“
Weitere Informationen
- netzpolitik.de – Datentransfers: EU-Gericht zerschlägt Privacy Shield
- Gerichtshof der Europäischen Union – PRESSEMITTEILUNG Nr.91/20: Der Gerichtshof erklärt den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzesfür ungültig (PDF)
- Gerichtshof der Europäischen Union – alle Dokumente zum Aktenzeichen C-311/18, u.a. mit dem Urteilstext (Hinweis: die Webseite wird noch unsicher mit http:// ausgeliefert)
- Berliner Beauftragte für Datenschutz und Informationsfreiheit – Pressemitteilung: Nach „Schrems II“: Europa braucht digitale Eigenständigkeit (PDF)