„Für unsere Privatsphäre müssen die Vereinigten Staaten ihre Aufsicht ernsthaft reformieren, um zu einem privilegierten Status für amerikanische Unternehmen zurückzukehren.” – Max Schrems

Das Schrems-II-Urteil des Europäischen Gerichtshofs (“ EuGH „) vom 16. Juli 2020 hatte enorme Auswirkungen in der Welt des Schutzes personenbezogener Daten (z.B. war Google gezwungn, seine Datenschutzpolitik unverzüglich zu ändern). In diesem Urteil bringt der EuGH das Grundrecht auf Privatsphäre im Zusammenhang mit der Übermittlung personenbezogener Daten in Drittländer hervor (siehe Zusammenfassung des Urteils hier).

In Schrems II entkräftete der EuGH die Schlussfolgerung der Europäischen Kommission, dass das Privacy Shield einen angemessenen Schutz für die Übermittlung personenbezogener Daten gemäß der Datenschutz-Grundverordnung der EU (die „DSGVO„) bietet. Der Gerichtshof erklärte, dass das Abkommen „den Europäern keine vor den Gerichten gegen die amerikanischen Behörden einklagbaren Rechte gewährt“.

Folglich kann das Privacy Shield, das derzeit von Tausenden amerikanischer Unternehmen genutzt wird, nicht länger die Grundlage für europäische Datentransfers in die Vereinigten Staaten sein.

Das Gericht stellte jedoch fest, dass eine andere Vereinbarung, die als Standarddatenschutzklauseln („SCC„) bekannt sind, beibehalten werden kann, wodurch den Unternehmen ein alternativer Rahmen geboten wird.

Die SCC sind in diesem Zusammenhang jedoch nur schwer anzuwenden, da die gleichen Fragen, die das Privacy Shield außer Kraft setzen, auch für die SCC mit amerikanischen Unternehmen gelten.

Die Entscheidung 2010/87/EG bezüglich der SCC erlegt einem Datenexporteur und einem Datenempfänger (dem „Datenimporteur„) die Verpflichtung auf, vor jeder Übermittlung und unter Berücksichtigung der Umstände der Übermittlung zu prüfen, ob ein solches Schutzniveau in dem betreffenden Drittland gewährleistet ist, und die Entscheidung 2010/87/EG verlangt, dass der Datenimporteur den Datenexporteur über jede Nichtanwendbarkeit der Datenschutz-Standardklauseln und gegebenenfalls über alle Maßnahmen, die über die in den Klauseln vorgesehenen hinausgehen, informiert. Sollte dies der Fall sein, ist der Datenexporteur verpflichtet, den Datentransfer auszusetzen und/oder den Vertrag mit dem Datenimporteur zu kündigen.

Herr Herwig Hofmann, Professor für Rechtswissenschaften der Universität Luxemburg und einer der Anwälte, die die Schrems-Fälle vor dem EuGH vertreten, fügt daher hinzu: „Es kann keine Datenübermittlungen in ein Land mit Massenüberwachungsmaßnahmen geben. Solange das US-Recht seiner Regierung die Befugnis einräumt, EU-Daten beim Transit in die USA abzugreifen, werden solche Instrumente immer wieder außer Kraft gesetzt werden“.

In der Praxis bedeutet dies, dass für fast alle amerikanischen Unternehmen die SCC selbst keinerlei Schutz- und Vertraulichkeitsniveau garantieren, das im Wesentlichen demjenigen entspricht, das die DSGVO für die internationale Übermittlung personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten fordert.

Jede Vereinbarung muss daher von Fall zu Fall getroffen werden, was durch die strengen Datenschutzbestimmungen der Europäischen Union, wie in der DSGVO vorgesehen, unterstützt werden muss.

Es ist also klar, dass die Vereinigten Staaten ihre Aufsichtsgesetze ernsthaft ändern müssen, wenn amerikanische Unternehmen weiterhin eine Rolle auf dem Markt der Europäischen Union spielen wollen.

Unser Hinweis?

Stellen Sie sicher, dass Sie Ihre Verträge, Datenschutzhinweise und Verarbeitungsprotokolle anpassen, wenn Ihre Unternehmen solche Transfers durchgeführt haben. Überprüfen Sie auch die Schutzmassnahmen, die im Rahmen eines Transfers persönlicher Daten festgelegt wurden, und passen Sie sie an die Vereinigten Staaten an.

Um Sie dabei zu unterstützen, hat der Europäische Datenschutzrat ein Dokument angenommen, das Antworten auf einige häufig gestellte Fragen seit dem Beschluss SCHREMS II enthält. Das Dokument ist hier verfügbar.

Wenn Sie weitere Informationen oder Unterstützung zur DSGVO wünschen, wenden Sie sich an unser Digitalteam unter +3522625621 oder senden Sie uns eine E-Mail an contact@dsm.legal