Ausreiseverbot für europäische Daten?

Infolge der Corona-Pandemie können nur noch sehr wenige EU-Bürger in die USA einreisen. Für unsere Daten garantierte bislang noch das EU-US-Privacy-Shield nahezu unbeschränkte Reisefreiheit. Vor dem Datenhunger der US-Behörden biete das Privacy-Shield aber keinen ausreichenden Schutz, urteilte nun der EuGH – und erklärt den Schutzschild mit sofortiger Wirkung für ungültig.

Worum geht es?

Im Anwendungsbereich der Europäischen Datenschutz-Grundverordnung dürfen personenbezogene Daten nur dann in Länder außerhalb der Europäischen Union übermittelt werden, wenn diese ein angemessenes Datenschutzniveau vorweisen. Die EU-Kommission kann in einem sog. Angemessenheitsbeschluss positiv feststellen, dass ein bestimmtes Land ein angemessenes Datenschutzniveau hat. Einen solchen Angemessenheitsbeschluss hatte die EU-Kommission bislang für 13 Länder erlassen, z.B. Kanada, Israel, Japan, die Schweiz.

Einer der 13 Angemessenheitsbeschlüsse stach wegen seiner Besonderheit hervor: Der Angemessenheitsbeschluss der EU-Kommission für die USA stellte gerade kein angemessenes Datenschutzniveau in den USA insgesamt fest. Ein angemessenes Schutzniveau sollte nur bei der Datenverarbeitung durch solche US-Unternehmen bestehen, die sich den Regeln des EU-US-Privacy-Shield unterworfen hatten. Die Liste der zertifizierten US-Unternehmen ist öffentlich einsehbar auf der Seite https://www.privacyshield.gov/.

Für die Kooperation deutscher Unternehmen mit zertifizierten US-Unternehmen, bedeutete das EU-US-Privacy-Shield eine massive Erleichterung. Denn ohne Angemessenheitsbeschluss müssen Unternehmen bei Übermittlung personenbezogener Daten außerhalb der EU selbst für ein angemessenes Schutzniveau durch die Verwendung und Durchsetzung sog. Standardvertragsklauseln, die von der EU-Kommission noch unter Geltung der EU-Datenschutzrichtlinie zur Verfügung gestellt werden, sorgen.

Und was sagt der EuGH dazu?

Der EuGH erklärt in seinem Urteil vom 16. Juli 2020 in der Rechtssache C-311/18 (das vorlegende irische Gericht hat über die Verarbeitung von personenbezogenen Daten durch die irische Facebook-Tochter in den USA zu entscheiden) die Angemessenheitsentscheidung der EU-Kommission zum EU-US-Privacy-Shield für ungültig – und das ausdrücklich mit sofortiger Wirkung. Denn das EU-US-Privacy-Shield biete keinen hinreichenden Schutz der EU-Bürger vor der Überwachung durch US-Behörden.

Gegen die Standardvertragsklauseln der EU-Kommission hat der EuGH dagegen ausdrücklich nichts einzuwenden. Diese können jedoch ihre Wirkung nur dann entfalten, wenn das datenempfangende Drittunternehmen die Vorgaben der Standardvertragsklauseln auch tatsächlich einhalten kann.

Alles easy dank Standardvertragsklauseln?

Leider nein. Dieselben Gegebenheiten des US-Rechts, gegen die nach dem EuGH-Urteil auch das EU-US-Privacy-Shield keinen hinreichenden Schutz bieten konnte, lassen es zweifelhaft erscheinen, ob US-Unternehmen ohne Weiteres den Verpflichtungen der Standardvertragsklauseln wirklich effektiv nachkommen können. Organisatorische und/oder technische Lösungen – z.B. eine starke Pseudonymisierung vor der Übermittlung personenbezogener Daten, die durch das US-Unternehmen nicht auflösbar ist – sind zwar denkbar, deren Implementierung bedeutet aber zusätzlichen Aufwand und kann je nach Geschäftsmodell kompliziert sein.

Und jetzt keine Daten mehr in die USA?

Wohl eher nicht. Was rechtlich sicherlich die einfachste Lösung wäre, scheint faktisch ausgeschlossen. Auch wenn in Zeiten der Corona-Pandemie kaum noch Europäer in die USA einreisen (können), überqueren unsere Daten den Atlantik täglich mit Leichtigkeit. Die meisten nutzen nicht nur Facebook, sondern auch Twitter, iPhones, Google und so weiter. Auch wenn wir bleiben, reisen unsere Daten dabei in aller Regel in die USA.

Und auch europäische Unternehmen kommen, wenn sie in großem Umfang Daten verarbeiten, an US-Unternehmen – sei es die IBM Cloud, die Server der Amazon Web Services, oder die Microsoft Cloud – kaum vorbei.

Teilweise bieten US-Unternehmen an, sicherzustellen, dass personenbezogene Daten nur auf Servern mit Standort in der EU verarbeitet werden. Ob dies langfristig den EuGH bzw. die Datenschutzbehörden der europäischen Staaten zufriedenstellen kann, ist jedoch fraglich. Denn der potentielle Hunger von US-Behörden auf von US-Unternehmen verarbeiteten personenbezogenen Daten ist seit dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ausdrücklich nicht mehr auf US-Staatsgebiet beschränkt.

Und jetzt?

Die ersten Pressemitteilungen deutscher Datenschutzbehörden (etwa Hamburg, Rheinland-Pfalz, Thüringen und der Bundesbeauftragte für Datenschutz und Informationssicherheit) lassen erkennen, dass diese zunächst die Abstimmung auf nationaler und europäischer Ebene suchen, um ein einheitliches Vorgehen zu gewährleisten. Falls die Unternehmen, die bisher noch auf Grundlage des EU-US-Privacy-Shield Daten von EU-Bürgern in den USA verarbeiten (lassen), hierdurch etwas Zeit gewinnen, sollte diese gut genutzt werden! Denn die Antwort, ob und wie ein angemessenes Datenschutzniveau auch in den USA gewährleistet werden kann, müssen am Ende die Unternehmen, die Daten von EU-Bürger in den USA verarbeitet (lassen), liefern.

Artikel teilen
Schreibe den ersten Kommentar

Spannende Zeiten im Gesellschaftsrecht. Europäisierung, Internationalisierung, Digitalisierung, Blockchain. Wir diskutieren mit.

Die gewachsene Bedeutung der Fintechs hat Berlin in den vergangenen Jahren zu einem Finanzplatz mit deutschlandweiter Bedeutung gemacht. Als Standort der weltweit wichtigsten Player der Crypto-Szene ist Berlin die neue „Hauptstadt des Geldes“. Bank- und Kapitalmarktrecht gehört zu unseren Schwerpunkten. Gepaart mit unserer Verwurzelung im Berliner Start-up-Ökosystem macht uns das zu einem der gefragtesten Ansprechpartner zu rechtlichen Themen rund um Fintechs und Crypto.

Neuigkeiten

Auch das noch.

  1. Fällt der Sommerurlaub aus? Ferienhausvermietung in der Krise

    Schon die durch aktuelle Rückforderungsansprüche von Kunden...

    4 Aufrufe

Berlin

Keine Informationen.

Corona

  1. Wer hat Angst vorm Webinar? Zur Sorge vor der eingetragenen Marke

    Die Verunsicherung von Veranstaltern von Webinaren um die in...

    16 Aufrufe
  2. Zahlungsaufschub in der Corona-Krise: Moratorium sichert Grundversorgung

    Abhilfe für Corona-bedingte Zahlungsschwierigkeiten bei Verb...

    7 Aufrufe
  3. Fällt der Sommerurlaub aus? Ferienhausvermietung in der Krise

    Schon die durch aktuelle Rückforderungsansprüche von Kunden...

    4 Aufrufe

Litigation

  1. Wahrheit oder Pflicht? Über Lügen im Gerichtssaal.

    Nach der Jagd, dem beliebtesten Freizeitvergnügen menschlich...

    2 Aufrufe
  2. VW/Diesel-Muster­fest­stellungs­klage

    Wer hätte das gedacht? Nur etwa eineinhalb Jahre hat das VW/...

    1 Aufrufe

Miete / Immobilien

  1. Auswirkungen der Umsatzsteuersenkung auf Gewerbemietverhältnisse

    3 Aufrufe
  2. Gewerbemietverträge in der Corona-Krise

    Die Corona-Krise stellt zunehmend auch Mieter und Vermieter...

    2 Aufrufe
  3. Mietzahlung trotz Betriebsuntersagung? – Ansprüche gewerblicher Mieter auf Herabsetzung der Miete immer wahrscheinlicher

    Zahlreiche Gewerbemieter sind durch die bundesweiten Verordn...

    1 Aufrufe

Mitarbeiter / Kurzarbeit

  1. Einführung von Kurzarbeit in der Corona-Krise – vom Umgang mit „Problemfällen“

    Viele Unternehmen sind durch die Corona-Krise mit der Einfüh...

    1 Aufrufe

Steuern / Bilanz

Keine Informationen.

Sustainable Finance

  1. Aufsichtsbehörden unterstützen stärkere Berücksichtigung von Nachhaltigkeitsaspekten in der Finanzbranche

    Die europäischen Aufsichtsbehörden können zwar gegenwärtig k...

    8 Aufrufe
  2. Nachhaltigkeit in der Bankenaufsicht – EBA-Aktionsplan und BaFin-Merkblatt veröffentlicht

    Die Einbeziehung von Nachhaltigkeitserwägungen nimmt auch im...

    6 Aufrufe
  3. Taxonomie-VO beschlossen und im Amtsblatt veröffentlicht

    Der im Dezember 2019 gefundene Kompromisstext zur Taxonomie-...

    3 Aufrufe

Unternehmen

  1. Wer hat Angst vorm Webinar? Zur Sorge vor der eingetragenen Marke

    Die Verunsicherung von Veranstaltern von Webinaren um die in...

    16 Aufrufe
  2. Die Reform des Personengesellschaftsrechts schreitet voran: Ein Überblick zum „Mauracher Entwurf“

    Die dringend nötige Reform des Personengesellschaftsrechts s...

    2 Aufrufe
  3. Das Damoklesschwert der Ausgangssperre

    Seit Tagen wird über die Notwendigkeit eines flächendeckende...

    1 Aufrufe

Vertragsrecht / Force Majeure

  1. Zahlungsaufschub in der Corona-Krise: Moratorium sichert Grundversorgung

    Abhilfe für Corona-bedingte Zahlungsschwierigkeiten bei Verb...

    7 Aufrufe
  2. Fällt der Sommerurlaub aus? Ferienhausvermietung in der Krise

    Schon die durch aktuelle Rückforderungsansprüche von Kunden...

    4 Aufrufe