Keine Daten mehr in die USA?

Einführung

Vielleicht haben Sie etwas von dem Urteil C-311/18 (auch unter dem Namen "Schrems II" bekannt) vom 16. Juli 2020 gehört? Was für Konsequenzen hat das Urteil und was bedeutet "Schrems II"?

Dieser Artikel soll eine kurze Übersicht geben, vor allem für Personen, die keine Datenschutz-Experten sind, aber als Verantwortliche Daten in die USA übertragen.

Hintergrund

Die Bezeichnung "Schrems II" ist abgeleitet von dem österreichischen Datenschutz-Experten "Max Schrems". Max Schrems ist Jurist, Autor und Datenschutzaktivist. Er fordertete zu prüfen, ob der so genannte Privacy Shield konform zur Datenschutz-Grundverordnung ist und klagte vor dem Europäischen Gerichtshof (EuGH).

Der Privacy Shield ist eine Absprache zwischen der Europäischen Union und der USA. Amerikanische Firmen, die sich dem Privacy Shield Abkommen unterwerfen, können personenbezogene Daten von EU Bürgern auf einer Rechtsgrundlage verarbeiten.

Allerdings ermöglicht die amerikanische Gesetzgebung den Behörden in den USA weitreichende Zugriffsrechte. Somit sind amerikanische Firmen nicht in der Lage, die Daten so vor Zugriff zu schützen, wie es die Datenschutz-Grundverordnung vorsieht.

Der Europäische Gerichtshof (EuGH) hat daraufhin das Privacy Shield Abkommen für ungültig erklärt. Die so genannten "Standardvertragsklauseln", welche man mit Drittstaaten vereinbaren kann, bleiben weiterhin gültig. Aber welche Konsequenzen hat das Urteil jetzt?

Konsequenzen der Entscheidung des EuGH

Grundsätzlich ist der Privacy Shield jetzt ungültig und es ist nicht mehr erlaubt, auf seiner Grundlage Daten in die USA zu übermitteln.

Die so genannten Standardvertragsklauseln" sind nicht in jedem Fall ausreichend und können nicht ungeprüft als Ersatz genutzt werden. Begründet wird dies damit, dass die Standardvertragsklauseln für amerikanische Behörden nicht bindend sind und damit der Schutz personenbezogener Daten vor den Behörden nicht garantiert werden kann.

Der Datentransfer ist möglich, wenn sichergestellt ist, dass der Zugriff durch staatliche Stellen entsprechend den Regelungen der DS-GVO erfolgt. Außerdem haben die betroffenen Personen keinen ausreichenden Rechtschutz.

Der EuGH hat entschieden, dass das Schutzniveau nicht ausreichend ist. Die Zugriffsrechte der Behörden sind zu weitreichend, entsprechen nicht dem Europäischen Recht und die betroffenen Personen haben keinen Schutz gegen diesen Zugriff.

Was muss man jetzt beachten?

Zunächst ist es notwendig zu prüfen, welche Daten in die USA oder Drittländer übertragen werden. Auch die Art der Daten sollte man untersuchen und klären, welche Länder betroffen sind. Anschließend muss man klären, welches Schutzniveau und welche Gesetzgebung in den betroffenen Ländern vorliegt und ob es vertragliche Garantien oder Ausnahmeregelungen gibt.

Folgende Vorgehensweise wird für die Übertragung personenbezogener Daten außerhalb der EU empfohlen: Verträge mit den datenempfangenden Unternehmen prüfen Kontakt zu den Unternehmen aufnhehmen und den Sachverhalt erläutern klären, welche Zugriffsrechte durch externe Stellen auf die personenbezogenen Daten möglich sind und ob die datenempfangenden Unternehmen gesetzlich verpflichtet sind, Zugriff auf diese Daten zu gewähren. Dies betrifft auch Subunternehmer dieser Unternehmen.

Es kann notwendig werden die Daten so zu verschlüsseln, dass ein externer Zugriff nicht möglich ist oder Methoden zur pseudonymisierung zu verwenden.