EU-US Privacy Shield ist ungültig
In seinem Urteil hat der Europäische Gerichtshof (EuGH) den EU-US-Datenschutzschild „Privacy Shield“ für ungültig erklärt. Datenübermittlungen in die USA sind nur noch auf der Basis der EU-Standardvertragsklauseln möglich.
Datentransfer in die USA mit Standard-Cloudsystemen
Konzerne nutzen eine Vielzahl von Cloudsystemen. Diese ermöglichen einen globalen Datenaustausch. Gab es früher vor der Einführung von IT-Anwendungen ein Lasten- und Pflichtenheft, langwierige Ausschreibungen und die Installation der entsprechenden Hardware im eigenen Rechenzentrum, so ist die Einführung von Standard Cloud-Computing-Plattformen heute deutlich einfacher möglich. Cloudsystem ist eine gemietete Software, die auf den Servern des Anbieters (z. B. Microsoft) installiert ist und von den Kunden über Internetverbindung genutzt wird. Wenn der Mietvertrag abgeschlossen ist, kann direkt Zugriff auf das IT-System genommen werden. Durch die Cloud ist die Datenhaltung international zentralisiert. Damit werden die einzelnen Firmen eines weltweiten Konzerns an die jeweilige IT-Anwendung angeschlossen. Dezentrale IT-Infrastrukturen werden durch einheitliche internationale Cloud IT-Systeme abgelöst. Vielfach wurde der Datentransfer in die USA durch eine Privacy-Shield-Zertifizierung des Herstellers eines Cloudsystems abgedeckt.
EU-US-Privacy-Shield
Unternehmen, die bislang ihre Datenübermittlungen ausschließlich auf den EU-US-Privacy-Shield stützen, können dies ab sofort nicht mehr. Der EuGH hat den Privacy-Shield für ungültig erklärt. Der Entscheidung lag folgender Sachverhalt zugrunde: Der Österreicher Maximilien Schrems beschwerte sich bei der irischen Datenschutzbehörde und stellte dabei die Rechtmäßigkeit des Datentransfers, hier an Facebook, auf Grundlage des EU-US-Privacy-Abkommens und der Standardvertragsklauseln der EU-Kommission in Frage. Der Irische High Court legte diese Fragen dem EuGH vor. Dieser hält das Abkommen zum einen für unwirksam, weil die mögliche Überwachung der gespeicherten Daten durch US-Sicherheitsbehörden nicht auf das zwingend erforderliche Maß beschränkt und nicht verhältnismäßig ist. Aufgrund von Überwachungsprogrammen in den USA sind Zugriffe der Behörden möglich, wenn Erfordernisse der nationalen Sicherheit und des öffentlichen Interesses es gebieten oder es zur Durchführung von Gesetzen erforderlich ist. Zum anderen bietet das EU-US-Privacy-Shield-Abkommen keinen ausreichenden Rechtsschutz. Der im Privacy-Shield genannte Ombudsmann ist nicht unabhängig von der amerikanischen Exekutive und besitzt keine ausreichenden Überwachungskompetenzen. Insofern stehen EU-Bürgern keine durchsetzbaren Rechte und keine wirksamen Rechtsbehelfe vor US-Gerichten zur Verfügung.
EuGH und EU-Standardvertragsklauseln
Nach dem EuGH können für Datenübermittlungen aber EU-Standardvertragsklauseln weiterhin zulässig sein. Sie sollten dabei ein gleichwertiges Datenschutzniveau herstellen und den gesetzlichen Schutz der Rechte der EU-Bürger in der Europäischen Union bei Datenexporten in Drittländer wie die USA garantieren. Nach dem EuGH müssen die Unternehmen aber prüfen, ob das Recht des Bestimmungsdrittlands einen angemessenen Schutz der Daten gewährleistet, lokale Gesetze die Zusicherungen in den Vertragsklauseln verhindern und erforderlichenfalls zusätzliche Garantien durch geschäftsbezogene Klauseln gewährt werden sollten. Die in den Standardvertragsklauseln vorgesehenen Schutzmechanismen sind erweiterbar.
Worauf Betriebsräte und Unternehmen jetzt achten sollten und wie der Datentransfer mit den USA am Beispiel Workday funktioniert, erfahren Sie in der aktuellen »Arbeitsrecht im Betrieb« 11/2020 ab Seite 26.
© bund-verlag.de (EMS)
