23.07.2020

EuGH kippt EU-US Privacy Shield: Aufsichtsbehörden und Unternehmen äußern sich zum Urteil (Übersicht)

Hintergrund

Nachdem der EuGH den EU-US Privacy Shield für ungültig erklärt hat, muss nun geprüft werden, auf welcher Basis personenbezogene Daten in die USA übermittelt werden können. Zwar sind die Standardvertragsklauseln weiterhin gültig, allerdings sind diese nach Ansicht einiger Datenschutz-aufsichtsbehörden nicht mehr dazu geeignet, den Datentransfer in die USA zu rechtfertigen. In diesem Beitrag fassen wir einzelne Stellungnahmen von Behörden und sonstigen Stakeholder zu-sammen:

Behördenticker

Behördenticker

AufsichtsbehördeKernaussageLink
HamburgNach der heutigen EuGH-Entscheidung befindet sich der Ball wieder einmal im Spielfeld der Aufsichtsbehörden, die nun vor der Entscheidung stehen werden, insgesamt die Datenübermittlung in Drittstaaten über Standardvertragsklauseln kritisch zu hinterfragen. Für den internationalen Datentransfer zögen schwere Zeiten aufhttps://datenschutz-hamburg.de/pressemitteilungen/2020/07/2020-07-16-eugh-schrems
Rheinland-PfalzVerantwortliche müssen sich mit der Gesetzeslage im Zielland auseinander setzen; sie müssen prüfen, welchen Gesetzen der Datenimporteur im Drittland und ggf. dessen Unterauftragnehmer unterliegen und ob diese die mit den Standardvertragsklauseln gegebenen Garantien beeinträchtigen. Ggf. sind die konkreten Datenflüsse zu analysieren, um festzustellen, welche Gesetze des Drittlandes jeweils Anwendung finden. Diese Pflichten gelten für Datenübermittlungen in alle Drittländer (z.B. Russland, China etc.), nicht nur in die USA.

https://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/#c3484

BerlinDie Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf

Thüringen„Wenn der EuGH nun hervorhebt, dass die Schutzmechanismen der Standardvertragsklauseln und ihre Einhaltung vom Datenexporteur und dem Datenempfänger vor der Übermittlung geprüft werden müssen, dann weiß ich nicht, wie im Fall der Datenübermittlung in die USA hier ein EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll. Bei der Beantwortung dieser Frage sind nach dem Urteil des EuGHs nun auch die europäischen Datenschutzaufsichtsbehörden verstärkt in der Pflicht“, so der Thüringer Datenschutzbeauftragte.

https://www.tlfdi.de/mam/tlfdi/presse/200716_pressemitteilung.pdf

Nordrhein-WestfalenDie deutschen und die europäischen Aufsichtsbehörden arbeiten zusammen, um das Urteil des EuGH einheitlich zu verstehen und umzusetzen. Sie arbeiten auch an Empfehlungen für die Rechtsanwender. Der Europäischen Datenschutzausschuss bietet der EU-Kommission Unterstützung an, wenn es darum geht, einen neuen Rahmen für Datenübermittlungen in die USA zu erstellen. Der Europäische Datenschutzausschuss prüft zudem, welche Zusatzmaßnahmen getroffen werden könnten für den Fall, dass Standarddatenschutzklauseln für ein bestimmtes Ziel-Land noch keine ausreichenden Garantien bieten. Insgesamt wird der Europäischen Datenschutzausschuss an Leitlinien für Rechtsanwender arbeiten, die das Urteil berücksichtigen. Die deutschen Aufsichtsbehörden arbeiten an den Entscheidungen des Europäischen Datenschutzausschusses mit und koordinieren sich in Deutschland. Mit Beschwerden von betroffenen Personen werden sich die Aufsichtsbehörden befassen und sie angemessen untersuchen. Leitlinien und allgemeine Beratung veröffentlichen wir sobald wie möglich auf unseren Internetseiten.https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Schrems-II/Schrems-II.html
Bremenn.a.n.a.
Bayernn.a.n.a.
Brandenburgn.a.n.a.
Schleswig-Holsteinn.a.n.a.
Saarlandn.a.n.a.
Mecklenburg-Vorpommernn.a.n.a.
Sachsenn.a.n.a.
Sachsen-Anhaltn.a.n.a.
Niedersachsenn.a.n.a.
Hessenn.a.n.a.
Baden-Württembergn.a.n.a.
Datenschutzkonferenz (DSK)n.a.n.a.
BfDIDer EuGH hat die Rolle der Datenschutzaufsichtsbehörden bestätigt und gestärkt. Sie müssen bei jeder einzelnen Datenverarbeitung prüfen und prüfen können, ob die hohen Anforderungen des EuGH erfüllt werden. Das bedeutet auch, dass sie den Datenaustausch untersagen, wenn die Voraussetzungen nicht erfüllt werden. Sowohl Unternehmen und Behörden als auch die Aufsichtsbehörden haben jetzt die komplexe Aufgabe, das Urteil praktisch anzuwenden. Wir werden auf eine schnelle Umsetzung in besonders relevanten Fällen drängen.

https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/17_Schrems-II-Urteil.html

Data Protection Com-
mission (DPC), Irland
Die irische Datenschutzaufsichtsbehörde betont, dass es im jeden Einzelfall einer Prüfung bedarf, ob die nun grundsätzlich auch unter Verwendung der Standardvertragsklauseln zweifelhaft erscheinende Datenübermittlung in die Vereinigten Staaten zulässig sein kann. Sie sieht der Entwicklung einer gemeinsamen Position der EU-Aufsichtsbehörden entgegen, um dem Urteil eine sinnvolle und praktische Wirkung zu verleihen.https://www.dataprotection.ie/en/news-media/press-releases/dpc-statement-cjeu-decision
Commission Nationale
de l'Informatique
et des Libertés (CNIL), Frankreich
Die französische Aufsichtsbehörde hält sich zurück: “Beyond the summary shared by the CJEU in its press release, the CNIL is currently conducting a precise analysis of the judgment, together with its European counterparts assembled within the European Data Protection Board. This joint work aims at drawing conclusions as soon as possible on the consequences of the ruling for data transfers from the European Union to the United States”. 

Europa

EU-Kommission

Die Kommission habe bereits intensiv an einem breiten Instrumentarium für internationale Datenübertragungen gearbeitet und dabei auch die Modernisierung der Standardvertragsklauseln berücksichtigt.

Dieses soll nun zügig in Absprache mit dem Europäischen Datenschutzrat Datenschutzbehörden zum Abschluss gebracht werden. „Das heutige Urteil gibt uns weitere wertvolle Hinweise, und wir werden dafür sorgen, dass das aktualisierte Instrument voll und ganz im Einklang damit steht.“

https://ec.europa.eu/germany/news/20200716-jourova-nach-urteil-der-eugh-zum-transatlantischen-datenschutz_de
European Data Protection
Board (EDPD)
The EDPB takes note of the duties for the competent supervisory authorities (SAs) to suspend or prohibit a transfer of data to a third country pursuant to SCCs, if, in the view of the competent SA and in the light of all the circumstances of that transfer, those clauses are not or cannot be complied with in that third country, and the protection of the data transferred cannot be ensured by other means, in particular where the controller or a processor has not already itself suspended or put an end to the transfer.https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_de

European Data Protection

Supervisor (EDPS)

As the supervisory authority of the EU institutions, bodies, offices and agencies, the EDPS is carefully analysing the consequences of the judgment on the contracts concluded by EU institutions, bodies, offices and agencies. The example of the recent EDPS’ own-initiative investigation into European institutions’ use of Microsoft products and services confirms the importance of this challenge.https://edps.europa.eu/press-publications/press-news/press-releases/2020/edps-statement-following-court-justice-ruling-case_en

Sonstige Stellungnahmen

StakeholderKernaussageLink
MicrosoftDaher möchten wir klarstellen: Gewerbliche Kunden können unsere Dienste weiterhin in Übereinstimmung mit dem europäischen Recht nutzen. Das Urteil des EuGH nimmt ihnen nicht die Möglichkeit, heute Daten zwischen der EU und den USA über die Microsoft Cloud zu übertragen.https://news.microsoft.com/de-de/stellungnahme-zum-urteil-des-eugh-was-wir-unseren-kunden-zum-grenzueberschreitenden-datentransfer-bestaetigen-koennen/

 

Handlungsempfehlung

Unternehmen sollten insbesondere ihre Datenübermittlungen in die USA überprüfen und sofern Datenverarbeitungen lediglich auf dem EU-US Privacy Shield basieren, schnellstmöglich die Standardvertragsklauseln als alternative geeignete Garantie vereinbaren. Aber auch wenn bereits Standardvertragsklauseln bestehen, muss jeweils geprüft werden, ob diese unter Beachtung der Gesetzeslage im Zielland im Hinblick auf die Zugriffsmöglichkeiten von staatlichen Behörden (insb. Nachrichtendienste) eingehalten werden können, um das fehlende Schutzniveau im Empfänger-land auszugleichen. Falls nicht, müssen neben den Standardvertragsklauseln zusätzliche Maß-nahmen vereinbart werden, um ein ausreichendes Datenschutzniveau herzustellen oder der Da-tentransfer muss ausgesetzt werden.

Autor/in