Nach der Entscheidung des EuGH ist das Privacy Shield keine Legitimationsgrundlage für Datenübermittlungen in die Vereinigten Staaten mehr. Dies bedeutet, dass jegliche Übertragung von personenbezogenen Daten in die USA rechtswidrig ist und mit Bußgeldern geahndet werden kann!
Mit der Entscheidung des EuGH gibt es für die Datenübermittlung in die Vereinigten Staaten nur noch die folgenden legalen Wege:
- Erteilung einer wirksame Einwilligung durch den Betroffenen
Zum einen kann die Legitimation der Datenübermittlung durch eine wirksame Einwilligung des Betroffenen eingeholt werden. Das funktioniert allerdings nur dann, wenn der Betroffene auch in der Lage ist eine informierte Einwilligung zu erteilen, d.h. ihm muss vollumfänglich und transparent offengelegt werden, was mit seinen Daten geschieht, an welchem Ort sie gelagert und wohin sie übertragen werden. Darüber hinaus muss der Betroffene im Rahmen der Einwilligung über die Risiken aufgeklärt werden, die im Zusammenhang mit der Datenübermittlung stehen: z.B. Datenverlust, Offenlegung, Verarbeitung zu anderen Zwecken (z.B. Werbung) bzw. Probleme bei der Durchsetzung der persönlichen Rechte (z.B. Betroffenenrechte, Grundrechte, Persönlichkeitsrechte). - Standardvertragsklauseln
Darüber hinaus gibt es die Möglichkeit der Standardvertragsklauseln. Dabei handelt es sich um von der Europäischen Kommission vordefinierte Standards für das Datenschutzniveau in einem Unternehmen. Diese Anforderungen sind niedergeschrieben und von der EU-Kommission genehmigt. Sie dürfen in ihrem Inhalt nicht abgewandelt werden! Die Standardvertragsklauseln stellen weiterhin eine legitime und wirksame Rechtsgrundlage für die Datenübermittlung in Drittländer dar.
Ihre Vereinbarung ist in der Praxis zum Teil nur schwer umzusetzen, da dieser Prozess mit einer Prüfung der tatsächlichen Gegebenheiten des Sicherheitsniveaus personenbezogener Daten beim Empfänger einhergeht. Auch verpflichtet sich dieser, das Sicherheitsniveau inklusive aller Bedingungen der Vereinbarung entsprechend einzuhalten. - Binding Corporate Rules
Eine dritte Option, die allerdings eher für Unternehmensverbunde und Konzerne mit Unternehmensteilen in Drittstaaten in Frage kommt, sind die sogenannten Binding Corporate Rules (BCRs). Dabei handelt es sich um ein Datenschutzprogramm, das sich eine Gruppe von Unternehmen selbst auferlegt. Die BCRs basieren dabei auf einer internen Unternehmensrichtlinie, die den Umgang mit personenbezogenen Daten regelt. Meist orientiert sich diese Richtlinie inhaltlich an der Europäischen DSGVO. Die zuständige Datenschutz-Aufsichtsbehörde prüft und genehmigt die BCRs und hat ein Mitspracherecht bezüglich der Inhalte. BCRs haben in Unternehmensverbunden den Zweck einheitliche Datenschutzstandards zu definieren und umzusetzen. Als rechtliche Folge können innerhalb einer Unternehmensgruppe (mit Unternehmensteilen in der EU und in Drittländern) personenbezogene Daten leichter übermittelt werden.
Ist keine dieser Legitimationen gegeben, muss die Datenübertragung zwingend unterbleiben! Ansonsten liegen Verstöße gegen das Datenschutzrecht vor, die mit Bußgeldern und Haftstrafen geahndet werden. Viele Unternehmen in der EU müssen als Folge auf die Ungültigkeitserklärung des Privacy Shields intern ihre Prozesse umstellen. Wir raten grundsätzlich dazu, die Nutzung von US-Anbietern und Diensten wie z.B. Facebook zur eigenen Sicherheit und der des Kundenstamms zu unterlassen. Handeln Sie daher unverzüglich und schauen Sie, ob auch Sie hiervon betroffen sind. Ist dies der Fall, ergreifen Sie umgehend entsprechende Maßnahmen.
Quelle: Gerichtshof der Europäischen Union, Pressemitteilung Nr.91/20, Beschluss 2016/1250 über die Angemessenheit des EU-US-Datenschutzschilds, abgerufen am 17.07.2020 unter https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf