Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Erneut hat der Jurist und Datenschutzaktivist Max Schrems europäische Datenschutz-Geschichte geschrieben! Nach seiner Klage kippte der Europäische Gerichtshof (EuGH) das zwischen der EU und den USA geltende Datenabkommen „Privacy Shield“.
Bereits 2015 hatte der EuGH nach einer Schrems-Klage die Vorgängerregelung „Safe Harbor“ kassiert.
Zum einen stellte der EuGH nun fest, dass Standardvertragsklauseln zur Datenübertragung ins Ausland nicht gegen die Charta der Grundrechte der EU verstoßen dürften. Auch Facebook nutzt diese für die Datenübertragung zwischen der EU und den USA.
Zum anderen und insbesondere deklariert der EuGH das Datenabkommen „Privacy Shield“ – ebenfalls zwischen der EU und den USA – für ungültig.
Ein Jahr nach dem Scheitern des „Safe Harbor“-Abkommens 2015 zwischen der EU und den USA vor dem EuGH wurde eine Abmachung geschlossen, nach welcher Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen. Eine wichtige Bedingung hierfür sei die Erfüllung der Europäischen Datenschutzgrundverordnung (DSGVO). Im Ausland dürfen nach DSGVO nur Daten gespeichert und verarbeitet werden, wenn die Datenschutzvorkehrungen in dem jeweiligen Land ähnlich hoch sind. Die Unternehmen erklären in einer Selbstverpflichtung, dass dies auch tatsächlich der Fall ist.
Max Schrems ist Jurist, der seit Jahren für einen stärkeren Datenschutz in Europa kämpft. Auch gegen Facebook ist er schon vorgegangen. Schrems gründete auch den Datenschutz-Verein Noyb, welcher auf Grundlage der DSGVO bis dato schon Anzeigen gegen Facebook und Google gestellt hat.
Grund für die nun deklarierte Ungültigkeit von „Privacy Shield“ sei, dass die Überwachungsbefugnisse der amerikanischen Geheimdienste und Sicherheitsbehörden dem EuGH zu weit gehen. NSA, FBI und andere dürfen nach dem amerikanischen Foreign Surveillance Act (FISA) selbst ohne richterlichen Beschluss die Daten ausländischer Nutzer durchsuchen. Dass Daten von Unternehmen wie Google, Apple, Facebook, Microsoft, Yahoo und weiteren abgefangen werden, lässt sich den Enthüllungen des Whistleblowers Edward Snowden entnehmen.
Mit dem neuen Beschluss sagt der EuGH nun, dass die Überwachungsprogramme nicht auf das zwingend notwendige Maß beschränkt seien.
Die beteiligten Parteien erklären in diesen Verträgen, dass es auch im Ausland einen angemessenen Schutz für die Daten von EU-Bürgern gibt, weswegen sie als einfach anwendbares Instrument gelten, um rechtskonform personenbezogene Daten ins Ausland zu übermitteln.
Dies bedeutet jedoch nicht, dass die Standardvertragsklauseln ein Freifahrtschein für die Datenübertragung ins Ausland sind. Der EuGH bestätigte zwar dieses Konstrukt, allerdings haben die Betroffenen die Möglichkeit, die Rechtmäßigkeit im konkreten Fall durch die zuständigen Datenschutzbehörden überprüfen zu lassen.
Im Streit zwischen Datenschutzaktivist Max Schrems und Facebook ist damit die irische Datenschutzbehörde DPC zuständig, welche bisher jedoch nicht durch ein scharfes Vorgehen gegenüber US-Konzernen, welche von Irland aus ihr Europa-Geschäft betreiben, aufgefallen ist.
Schrems spricht sich vor der irischen Datenschutzbehörde dagegen aus, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleite. Dies geschehe, obwohl die Daten dort nicht angemessen gegen Ausspähaktionen gesichert seien. Der irische High Court holte sich den EuGH als Hilfe hinzu, um zu klären, ob Standardvertragsklauseln und „Privacy Shield“ mit dem europäischen Datenschutzniveau vereinbar seien.
Die Entscheidung des EuGH betrifft allerdings ganz grundsätzlich die Datenübertragung ins Ausland und somit nicht nur Kunden von Firmen wie Facebook und Microsoft. Häufig greifen Unternehmen und Firmen auf Cloud-Dienste mit Sitz in den USA zurück, sodass oftmals selbst Daten in den USA gespeichert werden, auch wenn es sich um Firmen aus Europa handelt. Zu den mit am häufigsten genutzten Cloud-Diensten in den USA gehören Microsoft Azure, Google Cloud und Amazon AWS. Die großen US-Anbieter haben in der Regel Verträge abgeschlossen und agieren nicht allgemein unter dem Dach des „Privacy Shields“.
Was bedeutet dieses EuGH-Urteil nun jedoch für die Digital-Branche?
Der Branchenverband Bitkom beklagt, dass nun zum zweiten Mal – nachdem das Safe-Harbor-Abkommen bereits gescheitert war – die Rechtsgrundlage für die Datenverarbeitung zwischen der EU und den USA weggefallen sei. Zudem gerate die gerade noch geltende Praxis der Standardvertragsklauseln mit diesem EuGH-Beschluss ebenfalls ins Wanken.
Mitglied der Bitkom-Geschäftsleitung Susanne Dehmel erklärt, dass durch dieses Urteil eine massive Rechtsunsicherheit für Unternehmen mit einer Datenverarbeitung in den USA entstehe.
Firmen, die bisher allein auf Basis des „Privacy Shields“ Daten verarbeitet haben, müssten zumindest auf die Standardvertragsklauseln umstellen, da sonst ein Daten-Chaos drohe.
© dpa-infocom, dpa:200716-99-811929/9
Die Rechtsanwälte von SBS LEGAL greifen auf jahrelange Erfahrung bei dem Begründen und Halten von Datensicherheit zurück. Auch beraten wir täglich Unternehmen mit Geschäftssitz außerhalb der Europäischen Union, bei denen vor allem die rechtmäßige Übermittlung von personenbezogenen Daten in ein EU-Drittland sicherzustellen ist.
Wir stehen auch Ihnen gern als Partner in allen Belangen des Datenschutzes zur Seite. Sehen Sie sich entsprechenden rechtlichen Fragestellungen ausgesetzt, freuen wir uns jederzeit über Ihre Kontaktaufnahme.
Sie brauchen Hilfe im Datenschutzrecht? Wir sind für Sie telefonisch, per Mail oder über unser Direktkontaktformular da.
Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?