EUGH erklärt US Privacy Shield für unwirksam!

 

In einem Urteil vom 16.07.2020 hat der EuGH entschieden, dass der US Privacy Shield unwirksam ist (http://curia.europa.eu/juris/liste.jsf?oqp=&for=&mat=or&jge=&td=%3BALL&jur=C%2CT%2CF&num=C-311%252F18&page=1&dates=&pcs=Oor&lg=&pro=&nat=or&cit=none%252CC%252CCJ%252CR%252C2008E%252C%252C%252C%252C%252C%252C%252C%252C%252C%252Ctrue%252Cfalse%252Cfalse&language=de&avg=&cid=10305922). Damit hat der EuGH dem größten Teil des Datenverkehrs mit den USA die Grundlage entzogen.

Der US Privacy Shield war eine Absprache auf dem Gebiet des Datenschutzrechts zwischen der EU und den USA. Er bestand aus einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung und einem Angemessenheitsbeschluss der EU-Kommission und hatte den Zweck, die Übertragung  personenbezogener Daten aus der EU in die USA zu schützen.

Das EuGH-Urteil hat zur Folge, dass Dienstleister, die Daten in den USA verarbeiten, nicht mehr ohne Weiteres eingesetzt werden dürfen. Dies betrifft auch Firmen wie Microsoft, Google oder Facebook. Damit ist klar, dass das Urteil weitreichende Folgen für praktisch alle Unternehmen hat.

 

Sie müssen nunmehr Folgendes tun:

  • Prüfen Sie, ob Sie Unternehmen einsetzen, die unter dem US Privacy Shield stehen .Eine Liste der Unternehmen finden Sie hier: https://www.privacyshield.gov/list
  • Dies müssen Sie auch hinsichtlich von Ihren Vertragspartnern eingesetzten Subunternehmern prüfen.
  • Eventuell bieten die betreffenden Unternehmen EU-Server an; dies müssen Sie bei dem betreffenden Unternehmen erfragen und Ihren Datenverkehr entsprechend umstellen lassen.
  • Falls möglich, sollten Sie alternative Anbieter einsetzen.
  • Manche Unternehmen bieten bereits sog. Standardvertragsklauseln gemäß Art. 44ff. DSGVO an, die als Alternative zum US Privacy Shield in Betracht kommen, z.B. Microsoft. Dies sollten Sie bei Dienstleistern, auf die nicht verzichtet werden kann, prüfen, und ggf. die Standardvertragsklauseln abschließen.
  • In Ihren Datenschutzerklärungen und Verträgen sollten Sie alle Hinweise auf den US Privacy Shield entfernen.

 

Im Übrigen bleibt abzuwarten, wie sich die europäischen Datenschutzbehörden zu dem Thema stellen und welche Maßnahmen von deren Seite und auch von Seite der Anbieter ergriffen werden.