EuGH erklärte am 16.07.20 den „Privacy Shield“ für ungültig – die Rechtslage zum Datentransfer wandelt sich
Der SPD-Politiker Tiemo Wölken jubelte nach dem EuGH-Urteil zum Datentransfer: „Ein riesiger Sieg für digitale Grundrechte in der EU“. Und einer der „Väter“ der DSGVO, der Grünen-Politiker Jan Philipp Albrecht meint, US-Internetunternehmen wären jetzt gezwungen, die ausufernde Überwachung von Europäern durch die US-Behörden einzuschränken und Druck auf den dortigen Gesetzgeber zu erhöhen. Kritische Stimmen kommen vom Verband Bitkom. Es entstehe eine „massive Rechtsunsicherheit“ und die Frage, ob die „noch“ gültigen Standardvertragsklauseln (SSC) jetzt auch kippen, verschärfe die Situation. Alexander Rabe vom Digitalverband eco weist auf die fatalen Folgen für die Internetwirtschaft hin.
Welche konkreten Auswirkungen hat das Datentransfer-Urteil für Verantwortliche und Verbraucher?
Jeglicher freiwilliger Datentransfer aus der EU in die USA bleibt weiterhin erlaubt. Beispielsweise wenn Sie eine E-Mail in die USA senden oder ein Hotel über eine US-Webseite buchen. Die großen Anbieter (Google, Microsoft, Apple, Amazon, Facebook) haben schon lange vor dem Urteil damit gerechnet, dass der Privacy-Shield kippt und entsprechend Standardvertragsklauseln nach Artikel 46 DSGVO implementiert. Daher bleibt der Datentransfer mit diesen Anbietern weiterhin legal.
Hier empfiehlt es sich, genau zu beobachten, wie die Datenschutzaufsichtsbehörden in den nächsten Wochen argumentieren und handeln.
Handlungsschritte für Verantwortliche in Unternehmen
- Prüfen Sie intern, welche Datentransfers es aktuell in die USA gibt
- Bildete die Rechtsgrundlage dieses Datentransfer bisher der US-EU-Privacy-Shield?
- Wenn Schritt 2 mit Ja beantwortet wurde – Gibt es zusätzlich auch Standartvertragsklauseln (SSC)?
- Wenn es SSC gibt, diese bitte prüfen (lassen), ob sie den Anforderungen nach dem EuGH-Urteil entsprechen
- Wenn es keine SSC gibt, ist der Datentransfer in die USA nicht mehr möglich – Sie können prüfen, ob ein Datentransfer nach Artikel 49 DSGVO möglich ist oder SSC mit dem Unternehmen aufsetzen.
Appell: Führen Sie die fünf Prüfschritte durch. Geraten Sie aber nicht in Aktionismus. Sollte zum Beispiel Ihr Cloud-Anbieter aus den USA bisher auf den Privacy-Shield gesetzt haben, arbeitet er gegebenenfalls schon daran, zukünftig mit SSC zu arbeiten und den Datentransfer weiterhin zu gewährleisten. Sprechen Sie also erst einmal mit Ihren Dienstleistern, bevor Sie in einer Ad-hoc-Aktion zu anderen Anbietern wechseln.
Fazit: Dass die US-Regierung den Schutz ihrer Bürger (Terrorabwehr) herunterfährt, um EU-Datenschutz-Interessen zu befriedigen, ist unrealistisch.
Der Transfer personenbezogener Daten in die USA ist nur noch in engen Grenzen möglich. Leidtragender sind nicht die großen US-Tech-Firmen, sondern der vor allem der deutsche Mittelstand, der nun schauen muss, wie der oftmals notwendige Datentransfer in die USA weiterhin legal stattfinden kann.