EuGH kippt das EU/US Datenabkommen “Privacy Shield”

Was ist passiert?


Am 16.07.2020 hat sich der Europäische Gerichtshof mit der sogenannten “Privacy Shield”, also einem Datenabkommen zwischen der EU und der USA befasst, und dieses Abkommen aus 2016 für ungültig erklärt. Erneut hat sich damit der Datenschutzaktivist Max Schrems vor dem EuGH durchgesetzt und neben dem Zugewinn an Datenschutz für alle EU Bürger, was positiv zu bewerten ist, nun auch indirekt für richtige Unsicherheit in unserer Unternehmenswelt gesorgt. Der Jurist Max Schrems kämpft seit Jahren für einen stärkeren Datenschutz in Europa und hat sich ganz konkret mit Facebook angelegt. Zwar werden die Daten von Facebook innerhalb der EU, also in Irland verarbeitet, jedoch leitete die Außenstelle Facebook Irland die Daten europäischer Bürger auch an den Mutterkonzern in den USA weiter. Das schmeckte dem Juristen nicht und kämpfte sich durch die jeweiligen Instanzen.

Spätestens durch Edward Snowden wurde weltweit bekannt, dass es die US Behörden mit dem Datenschutz seit dem 11. September 2001 (Anschlag auf das World Trade Center) ihrer eigenen Bürger*innen nicht ganz so genau nimmt. So wurden und werden immer noch Daten im Überfluss gesammelt und von den US Behörden ausgewertet. Dabei wird aber nicht zwischen Daten aus den USA und den Daten der Bürger*innen der EU unterschieden. Daten, die in den USA liegen werden, werden genutzt. Und hier setzte in 2016 das Privacy Shield Abkommen zwischen der EU und der US Regierung an. 

Ziel des Abkommens war es der unternehmerischen Austausch von personenbezogenen Daten der EU-Bürger*innen unter bestimmten Schutzbedingungen in die USA zu erlauben. Kurz gesagt wurden viele Vorschriften und Auflagen in diese Vereinbarung gepackt, unter denen es doch erlaubt war mit amerikanischen Unternehmen Daten von EU-Bürger*innen auszutauschen. Die amerikanischen Unternehmen mussten dann die Umsetzung dieser Auflagen nachweisen und wurden dann für das Privacy Shield Abkommen zertifiziert.

Ergo: Wer sich zertifiziert hatte, durfte auch Daten aus der EU in den Vereinigten Staaten verarbeiten und wir als Unternehmer*innen durften auch mit diesen Unternehmen Daten austauschen. 

Finger touch smartphone screen with privacy protection

Was hat das mit deutschen Unternehmen zu tun?


Da das Abkommen per 16.07.2020 vom EuGH kassiert wurde, besteht ganz aktuell kein Abkommen mehr. Und zwar per sofort. Das heißt also, dass wir derzeit das europäische Datenschutzrecht und hier auch die DSGVO missachten, wenn wir Daten an US- Unternehmen weitergeben. Es gibt hier auch keine Übergangsfrist wie es bei der DSGVO war. Der EuGH hat das Abkommen kassiert und damit stehen wir nun per sofort vor schwierigen Aufgaben und Entscheidungen. Wir alle müssen uns nun fragen, ob wir personenbezogene Daten (bewusst oder unbewusst) in ein Drittland wie die USA exportieren und ganz genau prüfen, mit welchen Unternehmen wir welche Verträge geschlossen haben. Zu prüfen ist, ob der geschlossene Vertrag dem Privacy Shield unterliegt, oder sog. Standardvertragsklauseln (Hier: Was sind Standardvertragsklauseln) vereinbart wurden. 

Hier nur ein paar Unternehmen mit Sitz in den USA, welche Ihnen ganz bestimmt bekannt vorkommen und von denen Sie garantiert Services in Ihrem Unternehmen einsetzen:

Microsoft
Apple
Google
Zoom
MailChimp
AMAZON AWS
Dropbox
wix.com (Homepagebaukasten)
jimdo.com (Homepagebaukasten)

Die Liste lässt sich sicherlich noch erweitern. Aber Sie werden mindestens einen Service dieser Anbieter in Ihrem Unternehmen einsetzen, bei dem personenbezogene Daten an diese Unternehmen übermittelt werden. Spontan fallen uns dazu sämtliche Cloud Services ein. Alle die in der oben genannten Liste genannten Unternehmen beziehen sich ganz oder in Teilen in ihrer eigenen Datenschutzerklärung auf das Privacy Shield. Eine Rechtsgrundlage, die es seit dem 16.07.2020 nicht mehr gibt. 

Wir empfehlen daher allen Kunden und Nichtkunden sich mit diesem Thema zu beschäftigen und einen fachkundigen Datenschutzbeauftragten zu kontaktieren. Fragen Sie gerne auch bei den jeweiligen Unternehmen nach, wie diese mit der aktuellen Situation umgehen und ob sich Standardvertragsklauseln vereinbaren lassen oder vielleicht schon vereinbart wurden. 

Uns ist es wichtig Sie für dieses Thema zu sensibilisieren, da unserer Meinung nach das Thema noch zu sehr unter dem Deckel gehalten wird. Leider ist es momentan so, dass die EU noch klären will, was künftig möglich ist. Das heißt, dass selbst auf höchster Ebene nicht klar ist, was nun zu tun ist. Klar ist aber, dass die EU Datenschützer schon jetzt Bußgelder verhängen könnten und auch Mitbewerber und Verbände ein Abmahnrecht besitzen. Heißt im Klartext, dass wir als Unternehmer nun schauen müssen, wie wir datenschutzkonform richtig handeln, obwohl selbst die Datenschützer noch auf politischer Ebene darüber diskutieren müssen, was man nun machen kann. Ein Zustand der uns allen nicht schmecken kann. 

Ein Artikel von unserem Partner ERecht24.de zu diesem Thema

Weitere sehr interessante Erläuterungen von datenschutz.de