Datenschutz

5 Fragen zum Privacy Shield

20. Juli 2020 Privacy Shield
EU Datenschutz
Quelle: © bluedesign / Foto Dollar Club

Der EuGH hat den »EU-USA-Privacy Shield« gekippt und den entsprechenden Beschluss der Europäischen Kommission für ungültig erklärt. Der Grund: Die Vereinbarung wahrt nicht das europäische Datenschutzniveau, weil sie Zugriffsmöglichkeiten von US-Sicherheitsbehörden auf persönliche Daten aus der EU nicht ausschließt und für Betroffene keinen wirksamen Rechtsschutz garantiert. Wir haben hierzu unseren Experten Prof. Dr. Peter Wedde befragt.

1. Was ist der EU-USA-Privacy Shield?

Der sogenannte »Privacy Shield« ist eine informelle Vereinbarung zwischen der EU-Kommission und den USA. Er ermöglicht die Verarbeitung personenbezogener Daten aus Europa in den USA. Die Vereinbarung wurde notwendig, nachdem der EuGH am 6. Oktober 2015 in seiner Entscheidung »Schrems I« die Vorgängerregelung »Safe- Harbor« für unwirksam erklärt hatte. Teil des Privacy Shield ist die Anerkennung des Datenschutzes in den USA als »gleichwertig« mit dem europäischen Datenschutzrecht. Auf dieser Grundlage blieben Datenübermittlungen in die USA auch nach dem Ende von »Safe-Harbor« grundsätzlich möglich. Datenschützer haben die »Privacy Shield-Vereinbarung« allerdings von Anfang an als unzureichend kritisiert und angemerkt, dass insbesondere umfassende Zugriffe US-amerikanischer Sicherheitsbehörden in einem nach europäischen Recht unzulässigen Umfang und ohne Rechtsmittel der Betroffenen weiterhin möglich sind.

2. Worum geht es in dem Urteil?

Es ist erneut der österreichische Jurist Max Schrems, der die Weitergabe seiner Facebook-Nutzerdaten aus Irland in die USA für unzulässig hält. Deshalb hat er von der irischen Datenschutzbehörde verlangt, diese Weitergabe zu stoppen. Das im Verwaltungsverfahren zuständige irische Gericht hat den EuGH gefragt, ob der Privacy Shield mit den europäischen Datenschutzregeln vereinbar ist und ob er eine Datenwiedergabe in die USA legitimiert.

3. Was sind Standardvertragsklauseln?

Die sog. »Standardvertragsklauseln« für die Übermittlung personenbezogener Daten in Drittländer bzw. für dort stattfindende Auftragsverarbeitung wurden von der EU-Kommission erlassen. Sie sind nichts anderes als ein Vertrag zwischen zwei Unternehmen, durch den von der EU-Kommission festgelegte Mindeststandards zum Datenschutz vereinbart werden.

4. (Wie) ist eine Datenverarbeitung in die USA jetzt noch möglich?

Die Zulässigkeit der weiteren Verarbeitung personenbezogener Daten aus der EU in den USA hängt nach den Vorgaben des EuGH nunmehr davon ab, ob die einschlägigen europäischen Vorschriften dort eingehalten werden. Dies gilt insbesondere für die nach europäischem Recht unzulässigen Zugriffe von US-amerikanischen Sicherheitsbehörden. Datenschutzrechtlich Verantwortliche dürfen Verarbeitungen von personenbezogenen Daten aus der EU in den USA nur zulassen, wenn sie gewährleisten können, dass betroffenen EU-Bürgern dort die nach der DSGVO erforderlichen geeigneten Garantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe zur Verfügung stehen und dass sie insgesamt gleichwertige Schutzrechte wie innerhalb der EU genießen.

Diese Anforderung stellt das Gericht ausdrücklich auch an den Inhalt von EU-Standardvertragsklauseln. Diese müssen von den Vertragsparteien entsprechend ergänzt werden, um weiterhin wirksam zu sein.

5. Was bedeutet das für Gremien? (z.B. in Bezug auf Videokonferenzen bei Nutzung US-amerikanischer Software etc.)

Kollektivrechtliche Gremien nutzen für Video- und Telefonkonferenzen im Regelfall die Software, die Arbeitgeber im Betrieb zur Verfügung stellen. Das können sie auch nach dieser Entscheidung weiter tun. Arbeitgeber müssen allerdings als datenschutzrechtlich Verantwortliche nunmehr unverzüglich prüfen, ob Kommunikationssoftware mit »USA-Bezug« im Betrieb weiter eingesetzt werden kann. Wird weiterhin Software verwendet, die Daten unter Verstoß gegen die DSGVO in den USA speichert, tragen Arbeitgeber das Risiko, mit Geldbußen belegt zu werden. Wollen sie dieses Risiko vermeiden, ist der Rückgriff auf Konferenzsoftware unumgänglich, die personenbezogene Daten nicht in den USA verarbeitet.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat gängige Anbieter von Tools für Videokonferenzen auf rechtliche und technische Mängel geprüft und das Ergebnis in einer übersichtlichen Ampelform (mit weiterführenden Hinweisen) hier zur Verfügung gestellt.

Der Interviewpartner

Wedde_Peter_kleinDr. Peter Wedde

Professor für Arbeitsrecht und Recht der Informationsgesellschaft an der Frankfurt University of Applied Sciences, wissenschaftlicher Leiter der d+a consulting GbR in Eppstein und wissenschaftlicher Berater der Rechtsanwältinnen Steiner Mittländer Fischer in Frankfurt.

 

 

© bund-verlag.de (ct)

Newsletter BR viertel - Anzeige -
Wolfgang Däubler, u.a.
EU-Datenschutz-Grundverordnung - Neues Bundesdatenschutzgesetz - Weitere datenschutzrechtliche Vorschriften
lieferbar 99,00 €
Mehr Infos
Peter Wedde
Basiskommentar
vorbestellbar ca. 34,00 €
Mehr Infos

Das könnte Sie auch interessieren

Videokonferenz
Personalratssitzungen - Rechtsprechung

Virtuelles Zuschalten zu Präsenzsitzungen

Dollarphotoclub_20024543_160503-e1465204277885
Tarifverhandlungen - Aus der Praxis

5 Fragen zum Tarifrecht

Corona
Corona-Beschlüsse - Aktuelles

Dringender Appell für Homeoffice