5 Fragen zum Privacy Shield
1. Was ist der EU-USA-Privacy Shield?
Der sogenannte »Privacy Shield« ist eine informelle Vereinbarung zwischen der EU-Kommission und den USA. Er ermöglicht die Verarbeitung personenbezogener Daten aus Europa in den USA. Die Vereinbarung wurde notwendig, nachdem der EuGH am 6. Oktober 2015 in seiner Entscheidung »Schrems I« die Vorgängerregelung »Safe- Harbor« für unwirksam erklärt hatte. Teil des Privacy Shield ist die Anerkennung des Datenschutzes in den USA als »gleichwertig« mit dem europäischen Datenschutzrecht. Auf dieser Grundlage blieben Datenübermittlungen in die USA auch nach dem Ende von »Safe-Harbor« grundsätzlich möglich. Datenschützer haben die »Privacy Shield-Vereinbarung« allerdings von Anfang an als unzureichend kritisiert und angemerkt, dass insbesondere umfassende Zugriffe US-amerikanischer Sicherheitsbehörden in einem nach europäischen Recht unzulässigen Umfang und ohne Rechtsmittel der Betroffenen weiterhin möglich sind.
2. Worum geht es in dem Urteil?
Es ist erneut der österreichische Jurist Max Schrems, der die Weitergabe seiner Facebook-Nutzerdaten aus Irland in die USA für unzulässig hält. Deshalb hat er von der irischen Datenschutzbehörde verlangt, diese Weitergabe zu stoppen. Das im Verwaltungsverfahren zuständige irische Gericht hat den EuGH gefragt, ob der Privacy Shield mit den europäischen Datenschutzregeln vereinbar ist und ob er eine Datenwiedergabe in die USA legitimiert.
3. Was sind Standardvertragsklauseln?
Die sog. »Standardvertragsklauseln« für die Übermittlung personenbezogener Daten in Drittländer bzw. für dort stattfindende Auftragsverarbeitung wurden von der EU-Kommission erlassen. Sie sind nichts anderes als ein Vertrag zwischen zwei Unternehmen, durch den von der EU-Kommission festgelegte Mindeststandards zum Datenschutz vereinbart werden.
4. (Wie) ist eine Datenverarbeitung in die USA jetzt noch möglich?
Die Zulässigkeit der weiteren Verarbeitung personenbezogener Daten aus der EU in den USA hängt nach den Vorgaben des EuGH nunmehr davon ab, ob die einschlägigen europäischen Vorschriften dort eingehalten werden. Dies gilt insbesondere für die nach europäischem Recht unzulässigen Zugriffe von US-amerikanischen Sicherheitsbehörden. Datenschutzrechtlich Verantwortliche dürfen Verarbeitungen von personenbezogenen Daten aus der EU in den USA nur zulassen, wenn sie gewährleisten können, dass betroffenen EU-Bürgern dort die nach der DSGVO erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe zur Verfügung stehen und dass sie insgesamt gleichwertige Schutzrechte wie innerhalb der EU genießen.
Diese Anforderung stellt das Gericht ausdrücklich auch an den Inhalt von EU-Standardvertragsklauseln. Diese müssen von den Vertragsparteien entsprechend ergänzt werden, um weiterhin wirksam zu sein.
5. Was bedeutet das für Gremien? (z.B. in Bezug auf Videokonferenzen bei Nutzung US-amerikanischer Software etc.)
Kollektivrechtliche Gremien nutzen für Video- und Telefonkonferenzen im Regelfall die Software, die Arbeitgeber im Betrieb zur Verfügung stellen. Das können sie auch nach dieser Entscheidung weiter tun. Arbeitgeber müssen allerdings als datenschutzrechtlich Verantwortliche nunmehr unverzüglich prüfen, ob Kommunikationssoftware mit »USA-Bezug« im Betrieb weiter eingesetzt werden kann. Wird weiterhin Software verwendet, die Daten unter Verstoß gegen die DSGVO in den USA speichert, tragen Arbeitgeber das Risiko, mit Geldbußen belegt zu werden. Wollen sie dieses Risiko vermeiden, ist der Rückgriff auf Konferenzsoftware unumgänglich, die personenbezogene Daten nicht in den USA verarbeitet.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat gängige Anbieter von Tools für Videokonferenzen auf rechtliche und technische Mängel geprüft und das Ergebnis in einer übersichtlichen Ampelform (mit weiterführenden Hinweisen) hier zur Verfügung gestellt.
Der Interviewpartner
Dr. Peter Wedde
© bund-verlag.de (ct)
