Reset für den Datenschutz
Was kommt mit dem Ende des Privacy Shields, dem Datenschutzabkommen zwischen der EU und den USA, auf Unternehmen zu?
Experten sahen das Ende des Datenschutzabkommens zwischen der EU und den USA schon länger auf der Kippe. Mit dem EuGH-Urteil vom 16. Juli 2020 ist das Privacy Shield nun transatlantische Geschichte. Was es mit dem Abkommen auf sich hat, warum es aufgehoben wurde und was dies für Unternehmen bedeutet, lesen Sie hier.
Datenschutz-Abkommen "Privacy Shield". Was ist das überhaupt?
Das Privacy Shield ist ein seit 2016 in Kraft getretenes Abkommen zwischen den Vereinigten Staaten von Amerika und der Europäischen Union. Es regelt den Schutz personenbezogener Daten, die aus einem EU-Mitgliedstaat in die USA übertragen werden. Grundlage des Datenschutzabkommens ist es, dass Daten außerhalb der EU ebenfalls „adäquat“ geschützt sind. Das bedeutet, ein gleichwertiges Niveau des Datenschutzes ist im jeweiligen Land gegeben. Das Privacy Shield beinhaltet zudem verschiedene Zusicherungen der amerikanischen Bundesregierung. Darunter fällt etwa die Regelung, dass sich amerikanische Unternehmen in eine Liste eintragen müssen und sich so dem EU-Standard verpflichten. Auf dieses Abkommen hin übertrugen rund 5.000 in Europa ansässige US-Firmen und zahlreiche hiesige Unternehmen ihre Daten in die USA.
Warum kippt das EUGH-Urteil das Datenschutz-Abkommen?
Auslöser für das Verfahren war der österreichische Datenschützer Max Schrems. Er hinterfragte, ob ein „adäquater“ Schutz bei all den bekannten und unbekannten Überwachungsprogrammen in den USA grundsätzlich überhaupt möglich ist. Konkret bezog sich Schrems auf die Datenübermittlung von Facebook. Denn das Unternehmen ist verpflichtet, seine Daten US-Behörden wie der NSA oder dem FBI zugänglich zu machen. Dagegen kann kein EU-Bürger gerichtlich vorgehen. Im Gegensatz zur EU ermöglichen amerikanische Überwachungsgesetzte wie FISA eine breite Überwachung – auch ohne Prüfung der Verhältnismäßigkeit. Ebendiese Zugriffsmöglichkeiten der US-Behörden bemängelte der EuGH in seinem jetzigen Urteil. So kam dieser zu dem Schluss, dass die Übermittlung von personenbezogenen Daten nicht den Anforderungen des Unionsrechts entspricht und erklärte das Privacy-Shield-Abkommen für ungültig.
Welche Daten sind betroffen?
Unternehmen, die persönliche Daten von Nutzern, Kunden, Lieferanten oder Mitarbeitern in die USA
übertragen, sind vom EuGH-Urteil betroffen. Konkret sind hier IT-Unternehmen wie Facebook, Google, Microsoft, aber auch europäische Firmen, die ihre Daten in den USA verarbeiten lassen, betroffen. Private Datentransfers wie E-Mails, Internetbuchungen oder der Transfer von nicht personenbezogenen Daten sind weiterhin erlaubt.
Was bedeutet dieses Datenschutz-Urteil für Unternehmen?
Das Urteil des Europäischen Gerichtshofs trifft sämtliche Unternehmen, die hierzulande Daten erheben und transferieren. Davon sind nicht nur bekannte IT-Unternehmen aus den USA betroffen. Sondern auch europäische Firmen, deren bestehende Services auf Daten basieren. Da der Datentransfer quasi über Nacht nun rechtswidrig ist, müssen Unternehmen schnell reagieren. Sie können nun prüfen, ob sogenannte EU-Standardvertragsklauseln für sie in Frage kommen. Dabei muss in jedem Fall geprüft werden, ob der Staat, in welchen die Daten transferiert werden, diese Klauseln überhaupt erfüllen kann. Ebenso ist eine Anpassung vieler Datenschutzerklärungen und -hinweise auf Websites erforderlich. Denn oft wurde hier auf das Privacy-Shield-Abkommen verwiesen.