Bisher stand das EU-US Privacy Shield für den sicheren Datentransfer und für die sichere Datenverarbeitung zwischen der Europäischen Union und den USA. Das bedeutete, dass alle amerikanischen Unternehmen, die sich diesem Privacy Shield untergeordnet haben, dem europäischen Datenschutzstandard entsprochen haben. Der Datentransfer galt somit als sicher. Da der Datentransfer aus europäischer Sicht dann doch nicht so sicher war, hat nun der europäische Gerichtshof dieses Datentransferabkommen am 16. Juli für ungültig erklärt.
Wie es nun mit dem Datenverkehr in die USA genau weitergeht, ist bis dato noch nicht geklärt. In unserem neuen Blogbeitrag erfahren Sie, was bisher geschah, ob es unsere Datenschutzerklärung über den AdSimple Datenschutz Generator beeinflusst und wie es möglicherweise in Zukunft weitergehen könnte.
Anmerkung: Bitte beachten Sie aber, dass dieser Artikel und alle darin enthaltenen Informationen keine Rechtsberatung ersetzen!
Was bisher geschah
Zuerst gab es die „Safe Harbor“- Grundsätze, die den Tausch persönlicher Daten zwischen der EU und den USA regeln sollten. Diese Vereinbarung galt nur für Unternehmen, aber nicht für amerikanische Behörden. Nachdem man das erkannt hat, wurde 2015 diese Vereinbarung außer Kraft gesetzt. So waren plötzlich Daten, die amerikanische Unternehmen wie etwa Google, Facebook oder Microsoft erhoben haben, nicht mehr im Sinne des europäischen Rechts geschützt.
2017 trat das EU-US Privacy Shield an dessen Stelle und diente dem Schutz der Daten gemäß dem europäischen Recht. Der österreichische Datenschutzaktivist Max Schrems kämpft schon seit vielen Jahren gegen die Datenspeicherung und Datenverarbeitung europäischer Daten auf amerikanischen Boden. Auch als die „Safe Harbor“-Grundsätze gekippt wurden, war Schrems federführend und hatte Klage gegen den Datentransfer in die USA erhoben. Auf Grund einer weiteren Klage von Max Schrems wurde nun im Juli auch das EU-US Privacy-Shield-Abkommen gekippt. Viele europäische Datenschutzexperten hatten im Laufe der Zeit immer größeren Zweifeln, dass die USA die Datenschutzvereinbarungen auch rechtmäßig einhalten können.
Nun hat der Europäische Gerichtshof das Niveau des amerikanischen Datenschutzes auch stark angezweifelt und prompt das EU-US Privacy Shield für ungültig erklärt.
Europäische Datenschutzexperten, allen voran Max Schrems, sehen darin einen großen Gewinn für den Datenschutz in der Europäischen Union.
Der Datentransfer in die USA ist zwar noch zulässig, aber wird von den europäischen Datenschutzbehörden nicht mehr als sicher eingestuft. Gerade gelten nur die sogenannten Standardvertragsklauseln gemäß der Datenschutzgrundverordnung (DSGVO).
US-Datenschutz: Wo liegt das Problem?
Die Amerikaner haben von Datenschutz eine andere Auffassung als die EU. Für den EuGH sind die Zugriffsrechte der US-Behörden auf die europäischen Daten der größte Dorn im Auge. Laut europäischen Datenschutzexperten werden europäische Daten auf amerikanischen Boden vor allem vor den US-Gemeindiensten nicht ausreichend geschützt. So kann beispielsweise der CIA ohne Zustimmung des Betroffenen Einblick in personenbezogene Daten nehmen.
Europäische Datenschutzgesetze sind deswegen seit jeher im Clinch mit der amerikanischen Rechtsauffassung im Bereich des Datenschutzes. Vereinbarungen wie „Safe Harbor“ und das „Privacy Shield“ waren Versuche, übertragene personenbezogenen Daten aus der EU auch auf amerikanischen Boden gemäß den europäischen Gesetzen und Richtlinien zu schützen. Mit dem Urteil des EuGHs im Juli scheiterte auch der zweite Versuch. Damit werden übertragene Daten nach Amerika nicht mehr als sicher angesehen.
Dürfen Daten noch übertragen werden?
Daten dürfen zwar über Standardvertragsklauseln immer noch übertragen werden, doch es bleibt abzuwarten, ob das auch in Zukunft so bleibt. Unternehmen müssen allerdings prüfen, ob durch den Datenaustausch in die USA die Grundsätze des europäischen Datenschutzrechts gewährleistet sind. Denn es bleibt noch die Frage offen, ob diese Vertragsklauseln auch von Seiten der USA erfüllt werden. Nationale Sicherheitsbehörden werden diesen Sachverhalt in den nächsten Monaten genau unter die Lupe nehmen.
Für Unternehmen in Europa und in den USA herrscht nach dem gekippten Abkommen Unklarheit. Man weiß nicht genau, ob und welche Daten in Zukunft noch fließen dürfen. Allein auf Grundlage der Privacy-Shield-Zertifizierung ist der Datentransfer datenschutzwidrig.
Rechtsgrundlage: Standardvertragsklauseln
Auf Grundlage von Standardvertragsklauseln (SCC) ist der Datentransfer noch zulässig. Unternehmen, die sich bisher auch das Privacy-Shield-Abkommen gestützt haben, müssen nun mit den US-Firmen auf eine andere Rechtsgrundlage umstellen. Sie müssen also prüfen, ob bereits EU-Standardvertragsklauseln zwischen Ihnen und den amerikanischen Firmenpartnern vorliegen oder nicht. Standardvertragsklauseln reichen somit auch nicht immer für einen rechtmäßigen Datenaustausch aus. Denn die EuGH fordert, dass diese Datenflüsse immer auf das angemessene Datenschutzniveau der EU überprüft werden müssen.
Praktisch gewähren also auch die EU-Standardvertragsklauseln den Datentransfer in die USA, doch wie lange das noch so ist, steht derzeit in den Sternen.
Was verändert sich in unseren Datenschutztexten?
In unseren Datenschutztexten erwähnen wir auch weiterhin all jene Unternehmen, die sich den Regeln des EU-US Privacy-Shield-Abkommen unterworfen haben. Auch wenn die EuGH das Privacy-Shield-Abkommen gekippt hat, haben Unternehmen wie Google oder Facebook die darin enthaltenen Anforderungen an den Datenschutz erfüllt. Darum bieten diese Unternehmen immer noch ein höheres Maß an Sicherheit als Unternehmen, die sich dem EU-US Privacy Shield nicht unterworfen haben. Denn die Teilnehmer des Privacy-Shields werden nicht Ihren Verpflichtungen gemäß dem EU-US Privacy Shield Abkommen entbunden. Aus diesem Grund ändern wir vorerst nichts an unseren Datenschutztexten und warten ab, wie sich die rechtliche Lage in den nächsten Wochen und Monaten entwickelt.
Wie geht es weiter?
Unternehmen sollten in nächster Zeit auf jeden Fall auf die Standardvertragsklauseln mit amerikanischen Unternehmen achten und prüfen, ob der Umgang mit persönlichen Daten auch dem europäischen Standard entspricht. In den nächsten Monaten wird sowohl von europäischer als auch von amerikanischer Seite an einer für beiden Seiten zufriedenstellenden Einigung gefeilt. Ob allerdings eine solche Einigung zustande kommt, steht zum jetzigen Zeitpunkt noch in den Sternen. Unternehmen sollten eventuell auch europäische Alternativen als Partner in Erwägung ziehen. Es gibt heute immer mehr Websites, die damit werben, gar keine Daten in amerikanische Hände zu legen. In Zukunft ist ein rein innereuropäischer Datenaustausch durchaus denkbar, wenn sich die EU und die USA auf keinen Datenschutz-Deal einigen können.
In diesem Fall würde sich die gesamte Online-Welt vollkommen verändern und Unternehmen wie Google oder Facebook müsste Ihre Geschäftsstrategien neu überdenken oder sich vom europäischen Markt zurückziehen. Beide Varianten sind sehr unwahrscheinlich. Viel eher wird in den nächsten Monaten eine EU-US-Einigung erzielt, die das Privacy Shield ersetzt.
Fazit
Fakt ist: das Privacy-Shield-Abkommen entspricht aus Sicht des EuGH nicht mehr den europäischen Datenschutzstandards und wurde daher als ungültig erklärt. Dennoch bieten immer noch alle amerikanischen Unternehmen, die sich an das Abkommen halten, mehr Datenschutz als jene, die daran nicht teilnehmen. Darum werden wir bis auf Weiteres in unseren Datenschutzerklärungen alle Teilnehmer des Privacy Shields weiter erwähnen.
Wir hoffen, wir konnten Ihnen eine kleinen Einblick in die aktuelle Datenschutz-Situation zwischen der EU und den USA geben. Bitte bedenken Sie aber, dass dies keine Rechtsberatung darstellt und diese auch nicht ersetzt. Wenn Sie als Unternehmer von diesem EuGH-Urteil betroffen sind, sollten Sie auf jeden Fall eine Rechtsberatung aufsuchen.