EuGH erklärt das EU-US-Datenschutzschild („Privacy Shield“) für unwirksam Folgen des Urteils und Empfehlungen

EuGH erklärt das EU-US-Datenschutzschild („Privacy Shield“) für unwirksam Folgen des Urteils und Empfehlungen

DSGVO und Datenübermittlung in Drittländer

Die seit dem 25.05.2018 europaweit geltende Datenschutz-Grundverordnung (DSGVO) regelt in Art. 44 ff. DSGVO die Datenübermittlung an Drittländer oder internationale Organisationen. Die DSGVO sieht danach vor, dass eine Übermittlung nur dann zulässig ist, wenn diese auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO) oder vorbehaltlich geeigneter Garantien im Sinne des Art. 46 ff. DSGVO erfolgt. Unter geeigneten Garantien sind insbesondere sog. verbindliche interne Datenschutzvorschriften (BCR), Standarddatenschutzklausen (EU Model Clauses) oder das bislang gültige „Privacy Shield“ zu verstehen.

EuGH Urteil Rechtssache C-311/18

Im vorliegenden Fall hat sich der EuGH mit drei grundlegenden Fragen im Zusammenhang mit der Datenübermittlung in Drittländer befasst. Dabei ging es einerseits um die Rechtmäßigkeit des „Privacy Shields“ (Beschluss 2016/1250), den Standarddatenschutzklauseln (Beschluss 2010/87) sowie den Pflichten der jeweiligen Aufsichtsbehörden. Im Zusammenhang mit dem Beschluss 2016/1250 und damit konkret dem „Privacy Shield“ hat der EuGH entschieden, dass dieses aufgrund der potenziellen Zugriffsmöglichkeit von amerikanischen Behörden auf die personenbezogenen Daten von betroffenen Personen und des mangelhaften gerichtlichen Rechtsschutzes unwirksam ist. Hinsichtlich des Beschlusses 2010/87 (Standarddatenschutzklauseln) hat der EuGH entschieden, dass dieser nicht der Charta der Grundrechte der EU entgegensteht und damit weiterhin wirksam bleibt. Hervorzuheben sind zudem die Ausführungen des EuGHs bezüglich der Pflichten der Aufsichtsbehörden im Zusammenhang mit Datenübermittlungen. Der EuGH macht dabei deutlich, dass die Behörden verpflichtet sind, eine Datenübermittlung in ein Drittland auszusetzen oder zu verbieten, wenn im konkreten Einzelfall die Auffassung vertreten wird, dass die Standarddatenschutzklauseln im jeweiligen Land nicht eingehalten werden bzw. werden können.

Folgen des Urteils für die Praxis

Durch die fortschreitende Digitalisierung und dem internationalen Wettbewerb zwischen Unternehmen finden eine Vielzahl von Datenverarbeitungsvorgängen innerhalb von Prozessen auch im internationalen Umfeld statt. Das Urteil des EuGHs hat insoweit weitreichende Auswirkungen für die Praxis, da sämtliche auf dem „Privacy Shield“ gestützten Datenübermittlungen in die USA nun für ungültig erklärt wurden.

Empfehlungen Q_PERIOR

Unternehmen sollten sich auf Basis des EuGH Urteils zeitnah und intensiv mit ihren jeweiligen Datenverarbeitungsvorgängen im internationalen Kontext – konkret den USA – befassen. Dabei sollte der Fokus auf der Identifikation sämtlicher auf dem „Privacy Shield“ geschützten Datenübermittlungen in die USA liegen und entsprechende Alternativlösungen zur Einhaltung der Vorschriften der DSGVO abgeleitet werden. Eine solche Alternativlösungen ist der Abschluss der sog. Standarddatenschutzklauseln mit den jeweiligen Vertragspartnern. Der Abschluss der Standarddatenschutzklauseln sollte nun oberste Priorität haben, denn ein Verstoß gegen die Vorschriften der DSGVO kann weitreichende Folgen für die Unternehmen haben. Zwar handelt es sich hierbei um einen materiellen Verstoß gegen die Vorgaben der DSGVO, der zur Verhängung einer Geldbuße (Art. 58 Abs. 2 lit. i DSGVO) im Sinne des Art. 83 Abs. 5 lit. c) DSGVO führen kann, sodass ein theoretischer Bußgeldrahmen von bis zu 20 Mio. Euro bzw. 4% des weltweit erzielten Jahresumsatzes droht. Allerdings sollte nicht verkannt werden, dass die Verhängung von Bußgeldern gem. Art. 83 Abs. 2 Satz 1 DSGVO zusätzlich bzw. anstelle von Maßnahmen aus Art. 58 Abs. 2 DSGVO erfolgen kann. Die für die Praxis relevanteren Risiken ergeben sich allerdings aus lit. j) dieser Norm. Die Aufsichtsbehörde kann danach die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland anordnen, sodass das Unternehmen wesentliche Datenverarbeitungsprozesse aussetzen muss und damit ggf. die Existenz der Geschäftsfortführung bedroht wird.

Q_PERIOR steht Ihnen sowohl bei der Identifikation als auch bei der Ableitung von Abhilfemaßnahmen als kompetenter Ansprechpartner gerne zur Seite.

Mehr zum Thema

Können wir Sie unterstützen? Kontaktieren Sie unsere Experten!

Mit Q_PERIOR steht Ihnen ein starker Partner zur Seite.
Wir freuen uns auf Ihre Herausforderung!