Der Europ\u00e4ische Gerichtshof (EuGH) hat das EU-U.S. Privacy Shield Abkommen am 16. Juli 2020 f\u00fcr ung\u00fcltig erkl\u00e4rt. Durch das Urteil zum Privacy Shield stehen Unternehmen vor einer neuen Herausforderung, dass die \u00dcbermittlung von personenbezogenen Daten an US-Unternehmen den Anforderungen der EU-Datenschutz-Grundverordnung (kurz: DSGVO) gerecht wird.<\/p>\n
\u00a0<\/strong><\/p>\n Um es vorweg zu nehmen: Viele Vertr\u00e4ge mit US-amerikanischen Dienstleistern sind gar nicht vom Wegfall des EU-U.S. Privacy Shield betroffen, da diese Unternehmen sich zwar gem\u00e4\u00df der Kriterien der US-Handelsbeh\u00f6rde zertifiziert haben, ihre Datenverarbeitungen mit europ\u00e4ischen Unternehmen jedoch zus\u00e4tzlich auf Standardvertragsklauseln (Standard Contractual Clauses, SCC) gest\u00fctzt haben. Die Ma\u00dfnahmen des Privacy Shield sollen die Sicherheit der Verarbeitung personenbezogener Daten europ\u00e4ischer Kunden garantieren.<\/p>\n In den folgenden F\u00e4llen d\u00fcrfen nach jetziger Rechtslage personenbezogene Daten in die Vereinigten Statten \u00fcbermittelt werden:<\/p>\n F\u00fcr andere sog. Drittl\u00e4nder gelten Angemessenheitsbeschl\u00fcsse<\/a> der EU-Kommission. Darunter geh\u00f6ren z.B. L\u00e4nder wie Israel, Japan und Kanada. Jedoch nicht die USA – daher gab es das EU-U.S.-Privacy-Shield-Abkommen.<\/p>\n \u00a0<\/strong><\/p>\n Das Privacy Shield<\/a> wird von der US-Handelsbeh\u00f6rde betrieben, bei dem sich US-Unternehmen zertifizieren k\u00f6nnen und Garantien daf\u00fcr geben, den Datenschutzanforderungen der EU und der Schweiz nachzukommen. Es gibt das EU-U.S. Privacy Shield und das Swiss-U.S. Privacy Shield. Da die EU die Vereinigten Staaten nicht als Land mit einem angemessenen Datenschutzniveau einstuft, hat sie jedoch einen Angemessenheitsbeschluss f\u00fcr das Privacy Shield erlassen.<\/p>\n <\/p>\n Der \u00f6sterreichische Jurist und Datenschutzaktivist Maximilian Schrems ist einigen Lesern sicher daf\u00fcr bekannt, gerne juristisch gegen Facebook vorzugehen. Auf seine Initiative hin wurde bereits der Vorg\u00e4nger vom Privacy Shield, das sog. \u201eSafe Harbor\u201c-Abkommen, ebenfalls vom EuGH 2015 gekippt. Daher wird dieses neue Urteil auch \u201eSchrems II\u201c genannt.<\/p>\n Das Privacy Shield ist mit den Datenschutzgrunds\u00e4tzen der EU nicht vereinbar, weil<\/p>\n Das Urteil ist beim EuGH<\/a> in Kurzform abrufbar. Interessierte finden die Urteilsbegr\u00fcndung hier<\/a>.<\/p>\n <\/p>\n Eine \u00dcbersicht \u00fcber die j\u00fcngsten Reaktionen ist bei datenrecht.ch<\/a> zu finden.<\/p>\n Ein drastisches Verbot beim Einsatz von US-amerikanischen Dienstleistern (Auftragsverarbeitern) fordert die Berliner Beauftragte f\u00fcr Datenschutz und Informationsfreiheit<\/a> in Ihrer Stellungnahme. Verantwortliche (Unternehmen, Organisationen), die unter der Aufsicht der Berliner Beh\u00f6rde stehen, sollen \u2013 insbesondere bei der Nutzung von Cloud-Diensten \u2013 umgehend zu Dienstleistern in der Europ\u00e4ischen Union oder in einem Land mit angemessenem Datenschutzniveau wechseln.<\/p>\n Der Europ\u00e4ische Datenschutzausschuss (EDSA)<\/a> hat eine FAQ-Liste<\/a> zu den wichtigsten Fragen zu den Konsequenzen aus dem Schrems-II-Urteil des EuGH zum Datentransfer in L\u00e4nder au\u00dferhalb der EU geeinigt.<\/p>\n Neben dem EU-U.S. Privacy Shield gibt es noch die Schweizer Variante Swiss-U.S. Privacy Shield. Der Schweizer Datenschutzbeauftragte (ED\u00d6B)<\/a> hat das Urteil so kommentiert: \u201eDer ED\u00d6B hat das EuGH-Urteil zur Kenntnis genommen. Dieses Urteil ist f\u00fcr die Schweiz nicht direkt anwendbar. Der ED\u00d6B wird das Urteil im Detail pr\u00fcfen und sich zu gegebener Zeit \u00e4u\u00dfern.\u201c \u2013 Hier geht die Datenschutzwelt davon aus, dass die Eidgenossen der EU folgen und das Abkommen ebenfalls f\u00fcr nichtig erkl\u00e4ren werden.<\/p>\n Gro\u00dfbritannien, dass bereits aus der EU ausgetreten ist, l\u00e4sst durch ihre Datenschutzbeh\u00f6rde ICO (Information Commissioner\u2019s Office)<\/a> verlautbaren, dass sie das EuGH-Urteil ber\u00fccksichtigen und britische Unternehmen bei Datentransfers in die Staaten beraten werden.<\/p>\n <\/p>\n Unternehmen setzen US-amerikanische Drittanbieter-Tools \u2013 wie Google Analytics, Google Maps, YouTube-Videos und viele weitere Plugins ein. Da hier personenbezogene Daten flie\u00dfen, um \u00fcberhaupt die Dienste erbringen zu k\u00f6nnen (z.B. IP-Adresse f\u00fcr den Verbindungsaufbau), ist eine transparente Information der Nutzer und eine informierte und freiwillige Einwilligung erforderlich.<\/p>\n Rechtsanwalt Dr. Thomas Schwenke<\/a> hat daf\u00fcr ein Cookie-Banner\/Consent-Banner \u201eaufgemotzt\u201c. Ob eine transparente Information der Nutzer im Zusammenhang mit Sicherheitsbeh\u00f6rden der USA und eingeschr\u00e4nkten Betroffenenrechten europ\u00e4ischer B\u00fcrger \u00fcberhaupt m\u00f6glich ist, werden die Empfehlungen der europ\u00e4ischen Datenschutz-Aufsichtsbeh\u00f6rde (European Data Protection Board, EDPB<\/a>), der deutschen Datenschutzkonferenz<\/a> und der deutschen Datenschutz-Aufsichtsbeh\u00f6rden zeigen.<\/p>\n <\/p>\n Unternehmen sollten das Urteil auf jeden Fall ber\u00fccksichtigen und sich aktiv mit der Thematik auseinandersetzen. Die Vertr\u00e4ge mit US-amerikanischen Dienstleistern m\u00fcssen gepr\u00fcft werden. Hilfestellung dabei bieten Checklisten von Max Schrems, die bei der Datenschutzorganisation noyb.eu<\/a> abrufbar sind.<\/p>\n Auftragsverarbeitungsvertr\u00e4ge die als „Datenschutz“-Garantien das EU-U.S. Privacy Shield genannt hatten, m\u00fcssen dahingehnd gepr\u00fcft werden, ob als Garantien ebenfalls Standardvertragsklauseln (SCC) erw\u00e4hnt werden. Sollten auch keines SCC enthalten sein, ist es erforderlich als Vertragswerk die EU-Standardvertragsklauseln zu verwenden. Kontaktieren Sie hierzu Ihren US-amerikanischen Auftragsverarbeiter.<\/p>\n Da die Standardvertragsklauseln (SCC) bzw. Standarddatenschutzklauseln zuletzt im Jahr 2010 angepasst wurden, besteht hier auch Handlungsbedarf durch eine \u00dcberarbeitung der Klauseln durch die EU-Kommission. Au\u00dferdem ist dies nun eine politische Aufgabe der USA und EU.<\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Der Europ\u00e4ische Gerichtshof (EuGH) hat das EU-U.S. Privacy Shield Abkommen am 16. Juli 2020 f\u00fcr ung\u00fcltig erkl\u00e4rt. Durch das Urteil zum Privacy Shield stehen Unternehmen vor einer neuen Herausforderung, dass die \u00dcbermittlung von personenbezogenen Daten an US-Unternehmen den Anforderungen der EU-Datenschutz-Grundverordnung (kurz: DSGVO) gerecht wird. \u00a0 Privacy Shield: Wie d\u00fcrfen europ\u00e4ische Unternehmen personenbezogene Daten noch … <\/p>\nPrivacy Shield: Wie d\u00fcrfen europ\u00e4ische Unternehmen personenbezogene Daten noch in die USA \u00fcbertragen?<\/strong><\/h3>\n
\n
Privacy Shield – <\/strong>Was ist das?<\/strong><\/h3>\n
Warum hat der Europ\u00e4ische Gerichtshof (EuGH) das EU-U.S. Privacy Shield Abkommen gekippt?<\/strong><\/h3>\n
\n
Wie haben europ\u00e4ische Datenschutz-Aufsichtsbeh\u00f6rden auf das \u201eSchrems II\u201c-Urteil reagiert?<\/strong><\/h3>\n
Und welche Auswirkungen hat dies auf Websitebetreiber?<\/strong><\/h3>\n
Fazit – Abwarten und Tee trinken?<\/strong><\/h3>\n