EuGH fällt Urteil zum EU-US Privacy Shield und den EU-Standardvertragsklauseln

EuGH fällt Urteil zum EU-US Privacy Shield und den EU-StandardvertragsklauselnDer Europäische Gerichtshof (EuGH) hat sich der Frage angenommen, wie weit ausreichende Garantien für ein angemessenes Datenschutzniveau bestehen, wenn personenbezogener Daten in einem Drittland unter dem EU-US Privacy Schield und der EU-Standardvertragsklauseln verarbeitet werden. Der EuGH prüfte die Gültigkeit des Privacy-Shield-Beschlusses 2016/1250 anhand der Anforderungen der DSGVO auf die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf einen effektiven gerichtlichen Rechtsschutz von Betroffenen. Hier kommt der EuGH mit dem Urteil vom 16.07.2020 (Az: C311/18 – Veröffentlichung hier) zum Schluss, dass der Zugriff von amerikanischen Behörden auf die Daten, welche aus der Union in dieses Drittland übermittelt werden, nicht dergestalt geregelt ist, dass ein gesetzlicher Schutz der Rechte und Freiheiten der betroffenen Personen in der EU sichergestellt ist.

Damit hat der EuGH das EU-US Privacy Shield als Nachfolgeregelung für das Safe Harbor Abkommen für ungültig erklärt. Dies hat zur Konsequenz, dass Verantwortliche oder Auftragsverarbeiter ab dem 16.07.2020 keine personenbezogenen Daten mehr auf Basis des EU-US Privacy Shields an Empfänger in den Vereinigten Staaten übermitteln dürfen. Somit besteht ein dringender Handlungsbedarf für Verantwortliche, welche auf Basis des EU-US Privacy Shields Daten in die Vereinigten Staaten übermitteln.

Variante 1: Einwilligung des Betroffenen

Damit weiterhin ein Verantwortlicher eine rechtmäßige Datenübermittlung in die USA vornehmen kann, ist eine Einwilligung vom Betroffenen nach DSGVO erforderlich. Das Einholen einer solchen Einwilligung scheint auf dem ersten Blick der einfachste Weg zu sein. Jedoch muss eine solche Einwilligung definierten Voraussetzungen genügen:

  • freiwillig und informiert erfolgen (Art. 4 Nr. 11 DSGVO)
  • bezogen auf einen bestimmten Zweck (Art. 6 Abs. 1 Buchst. A DSGVO)
  • bezogen auf eine bestimmte Verarbeitung und unmissverständlich erfolgen (Art. 4 Nr. 11 DSGVO)

Darüber hinaus muss ein Verantwortlicher den Widerruf der Einwilligung nach Art. 7. Abs. 3 DSGVO gegenüber dem Betroffenen sicherstellen und auch seinen Nachweispflichten nach Art. 7 Abs 1 DSGVO nachkommen.

Variante 2: EU-Standardvertragsklausel

Nach Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union stellt der EuGH fest, dass keine Einschränkungen hinsichtlich deren Gültigkeit vorliegen. Damit bleiben EU-Standardvertragsklauseln nach der Entscheidung des EuGHs gültig. Das Risiko für Betroffene, dass Behörden die Rechte und Freiheiten durch einen Zugriff auf deren personenbezogenen Daten verletzen, bleibt aber auch hier bestehen. Doch anders als bei einer Angemessenheitsentscheidung erfolgt in den Standardvertragsklauseln keine rechtsverbindliche Prüfung.

Weiterhin wären die in den Standardvertragsklauseln vorgesehen Schutzmechanismen grundsätzlich erweiterbar. Die Kriterien für eine Übermittlung an die USA auf Basis der EU-Standardvertragsklausel festzulegen ist aber eine Herausforderung, welche von Seiten des Europäischen Datenschutzausschusses und den EU-Aufsichtsbehörden zu lösen ist. Hier fehlt es derzeit an offiziellen Aussagen oder Hinweisen.

Die Vertragsmuster

Übermittlung an den Empfänger, der die Daten als Verantwortlicher erhält:

Für die Übermittlung an den Empfänger, der die Daten zum Zwecke einer Auftragsverarbeitung erhält:

Quellen:

Kommentare sind geschlossen.