th share video content contact download event event-wifi cross checkmark close icon-window-edit icon-file-download icon-phone xing whatsapp wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin Google-plus facebook pinterest skype vimeo snapchat arrow-up arrow-right arrow-left arrow-down calendar user home icon-gallery icon-flickr icon-youtube icon-instagram

Privacy Shield ungültig!

Der Europäische Gerichtshof (EuGH) hat das EU-US Privacy Shield mit sofortiger Wirkung für ungültig erklärt (Urteil in der Rechtssache C-311/18 Data Protection Commissioner / Maximillian Schrems und Facebook Ireland)

Das EU-US Privacy Shield ist ein Abkommen zwischen der EU und den USA, welches die datenschutzrechtliche Übermittlung personenbezogener Daten von der EU in die USA regelte. Mit dem Privacy Shield sollte ein Nachfolger für das vorherige Abkommen, Safe Harbor, gefunden werden, das bereits 2015 vom EuGH für ungültig erklärt wurde („Urteil Schrems I“).

Dieses Abkommen ist eine „Angemessenheitsentscheidung“, mit der festgestellt wurde, dass die USA ein EU-konformes Datenschutzniveau für den Datentransfer aus der EU an US-Unternehmen, die sich diesem „Privacy Shield“ unterworfen haben, gewährleistet haben. US-Unternehmen hatten die Möglichkeit, sich in eine vom US-Handelsministerium geführten Liste („Privacy Shield List“) eintragen zu lassen, wenn sie sich zur Einhaltung der vereinbarten verbindlichen Anforderungen („Privacy Shield Principles“) durch eine Selbstzertifizierung gegenüber dem US-Handelsministerium verpflichteten.

Max Schrems, österreichischer Datenschutzaktivist, der bereits den Anlassfall zum Fall von Safe Harbor führte, wandte sich bzgl der Übermittlung seiner personenbezogenen Daten von Facebook Irland in die USA neuerlich an den EuGH. Das Recht und die Praxis der USA im Hinblick auf Datenzugriffe würden keinen ausreichenden Schutz vor dem Zugriff der Behörden bieten, so der Vorwurf. Zum einen wurden die „Standarddatenschutzklauseln“ kritisiert (das sind Vertragsklauseln, die von der Kommission für den internationalen Datenverkehr erlassen werden), zum anderen wurde die Gültigkeit des Privacy Shields in Frage gestellt.

Das Privacy Shield wurde eigentlich jährlich überprüft und für angemessen erklärt, nun wurde es aber in einem neuerlichen Verfahren vom EuGH am 16. Juli 2020 für ungültig erklärt.

Die Standardvertragsklauseln bleiben nach dieser Entscheidung weiterhin gültig.

Auch österreichische Unternehmen sind betroffen.

Jegliche Weiterleitung von personenbezogenen Daten in die USA ist im Prinzip betroffen bzw muss geprüft werden.

Verwendet ein österreichisches Unternehmen zB Webtracking (zB „Gefällt mir“-Button bei Facebook), wickelt E-Mail-Accounts über die USA ab, nutzt Cloud-Lösungen mit Speicherung der Daten in den USA oder lagert schlichtweg diverse Datenverarbeitungsprozesse an Unternehmen mit Sitz in den USA aus, könnte das Unternehmen betroffen sein. Allerdings stützt sich nicht jeder Datenverkehr mit den USA auf das Privacy Shield.

Internationaler Datenverkehr

Angemessenheitsbeschlüsse sind nur eine Möglichkeit für einen rechtmäßigen internationalen Datenverkehr. Es gibt auch andere, wie zB das Vorliegen „geeigneter Garantien“. Diese können zB in verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules), die von der zuständigen Aufsichtsbehörde genehmigt worden sind, bestehen oder in den oben bereits erwähnten Standarddatenschutzklauseln, die von der Europäischen Kommission erlassen oder von einer Aufsichtsbehörde angenommen und von der Kommission genehmigt worden sind.

Auch eine ausdrückliche Einwilligung der vom Datentransfer betroffenen Personen im Einzelfall oder die Erforderlichkeit für die Erfüllung eines Vertrages mit der betroffenen Person kann eine Möglichkeit für den internationalen Datenverkehr sein (nähere Informationen dazu finden sich hier: EU-Datenschutz-Grundverordnung (DSGVO): Internationaler Datenverkehr).

Der Blick in die Zukunft ist schwierig.

Betroffene Unternehmen sollten jetzt jedenfalls prüfen, welche digitalen Dienste (Cloud, Office-Lösungen, Social Media Plattformen, Social PlugIns, etc) sie in Anspruch nehmen und ob hier ein Datenaustausch mit den USA stattfindet. Grundsätzlich sollte das bereits mit dem 25. Mai 2018 (Geltung der DSGVO) durchgeführt worden sein, dh es sollte auch im Verarbeitungsverzeichnis des Unternehmens aufscheinen.

Wenn der Datenverkehr mit den USA bejaht wird, sollte geprüft werden, ob hierfür bisher das Privacy Shield herangezogen wurde. Wenn es nicht herangezogen wurde, besteht derzeit noch kein Änderungsbedarf.

Wenn es allerdings die Grundlage für den Transfer ist, muss geklärt werden, ob eine andere Grundlage für den Datenverkehr herangezogen werden könnte (zB eine individuelle ausdrückliche Einwilligung, alle weiteren Möglichkeiten finden sich hier: EU-Datenschutz-Grundverordnung (DSGVO): Internationaler Datenverkehr). Werden Auftragsverarbeiter im Rahmen der genutzten Dienste herangezogen (zB Cloudanbieter), hat vorrangig dieser den rechtskonformen Zustand herzustellen, dh zu prüfen, wie eine Datenübermittlung stattfinden kann.

Diensteanbieter werden diese Prüfung voraussichtlich rasch durchführen und die erforderlichen Änderungen schnell umsetzen. Als Frage bleibt aber, ob sich diese auf die Standardvertragsklauseln stützen werden und/oder ob die Verträge umgeschrieben werden müssen (dh Nutzungsbedingungen angepasst werden müssen). Ob zu befürchten ist, dass österreichische Unternehmen von der österreichischen Datenschutzbehörde zur Unterlassung des Datenverkehrs aufgefordert werden, ist derzeit nicht abschätzbar.

Aber ja: Das neue Urteil bringt wesentlichen Mehraufwand mit sich und natürlich auch Rechtsunsicherheit im internationalen Datenverkehr mit den USA.

Zu hoffen bleibt, dass es eine Chance für die österreichischen Unternehmerinnen und Unternehmer in der IT-Landschaft birgt, welche bereits jetzt sichere Cloud-Lösungen innerhalb der EU oder sogar innerhalb Österreichs anbieten (vgl auch Gütesiegel Austrian Cloud – meine Daten bleiben rot-weiß-rot).

Weiter Informationen: Pressemitteilung des EuGH