Ausreiseverbot für europäische Daten?

Infolge der Corona-Pandemie können nur noch sehr wenige EU-Bürger in die USA einreisen. Für unsere Daten garantierte bislang noch das EU-US-Privacy-Shield nahezu unbeschränkte Reisefreiheit. Vor dem Datenhunger der US-Behörden biete das Privacy-Shield aber keinen ausreichenden Schutz, urteilte nun der EuGH – und erklärt den Schutzschild mit sofortiger Wirkung für ungültig.

Worum geht es?

Im Anwendungsbereich der Europäischen Datenschutz-Grundverordnung dürfen personenbezogene Daten nur dann in Länder außerhalb der Europäischen Union übermittelt werden, wenn diese ein angemessenes Datenschutzniveau vorweisen. Die EU-Kommission kann in einem sog. Angemessenheitsbeschluss positiv feststellen, dass ein bestimmtes Land ein angemessenes Datenschutzniveau hat. Einen solchen Angemessenheitsbeschluss hatte die EU-Kommission bislang für 13 Länder erlassen, z.B. Kanada, Israel, Japan, die Schweiz.

Einer der 13 Angemessenheitsbeschlüsse stach wegen seiner Besonderheit hervor: Der Angemessenheitsbeschluss der EU-Kommission für die USA stellte gerade kein angemessenes Datenschutzniveau in den USA insgesamt fest. Ein angemessenes Schutzniveau sollte nur bei der Datenverarbeitung durch solche US-Unternehmen bestehen, die sich den Regeln des EU-US-Privacy-Shield unterworfen hatten. Die Liste der zertifizierten US-Unternehmen ist öffentlich einsehbar auf der Seite https://www.privacyshield.gov/.

Für die Kooperation deutscher Unternehmen mit zertifizierten US-Unternehmen, bedeutete das EU-US-Privacy-Shield eine massive Erleichterung. Denn ohne Angemessenheitsbeschluss müssen Unternehmen bei Übermittlung personenbezogener Daten außerhalb der EU selbst für ein angemessenes Schutzniveau durch die Verwendung und Durchsetzung sog. Standardvertragsklauseln, die von der EU-Kommission noch unter Geltung der EU-Datenschutzrichtlinie zur Verfügung gestellt werden, sorgen.

Und was sagt der EuGH dazu?

Der EuGH erklärt in seinem Urteil vom 16. Juli 2020 in der Rechtssache C-311/18 (das vorlegende irische Gericht hat über die Verarbeitung von personenbezogenen Daten durch die irische Facebook-Tochter in den USA zu entscheiden) die Angemessenheitsentscheidung der EU-Kommission zum EU-US-Privacy-Shield für ungültig – und das ausdrücklich mit sofortiger Wirkung. Denn das EU-US-Privacy-Shield biete keinen hinreichenden Schutz der EU-Bürger vor der Überwachung durch US-Behörden.

Gegen die Standardvertragsklauseln der EU-Kommission hat der EuGH dagegen ausdrücklich nichts einzuwenden. Diese können jedoch ihre Wirkung nur dann entfalten, wenn das datenempfangende Drittunternehmen die Vorgaben der Standardvertragsklauseln auch tatsächlich einhalten kann.

Alles easy dank Standardvertragsklauseln?

Leider nein. Dieselben Gegebenheiten des US-Rechts, gegen die nach dem EuGH-Urteil auch das EU-US-Privacy-Shield keinen hinreichenden Schutz bieten konnte, lassen es zweifelhaft erscheinen, ob US-Unternehmen ohne Weiteres den Verpflichtungen der Standardvertragsklauseln wirklich effektiv nachkommen können. Organisatorische und/oder technische Lösungen – z.B. eine starke Pseudonymisierung vor der Übermittlung personenbezogener Daten, die durch das US-Unternehmen nicht auflösbar ist – sind zwar denkbar, deren Implementierung bedeutet aber zusätzlichen Aufwand und kann je nach Geschäftsmodell kompliziert sein.

Und jetzt keine Daten mehr in die USA?

Wohl eher nicht. Was rechtlich sicherlich die einfachste Lösung wäre, scheint faktisch ausgeschlossen. Auch wenn in Zeiten der Corona-Pandemie kaum noch Europäer in die USA einreisen (können), überqueren unsere Daten den Atlantik täglich mit Leichtigkeit. Die meisten nutzen nicht nur Facebook, sondern auch Twitter, iPhones, Google und so weiter. Auch wenn wir bleiben, reisen unsere Daten dabei in aller Regel in die USA.

Und auch europäische Unternehmen kommen, wenn sie in großem Umfang Daten verarbeiten, an US-Unternehmen – sei es die IBM Cloud, die Server der Amazon Web Services, oder die Microsoft Cloud – kaum vorbei.

Teilweise bieten US-Unternehmen an, sicherzustellen, dass personenbezogene Daten nur auf Servern mit Standort in der EU verarbeitet werden. Ob dies langfristig den EuGH bzw. die Datenschutzbehörden der europäischen Staaten zufriedenstellen kann, ist jedoch fraglich. Denn der potentielle Hunger von US-Behörden auf von US-Unternehmen verarbeiteten personenbezogenen Daten ist seit dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ausdrücklich nicht mehr auf US-Staatsgebiet beschränkt.

Und jetzt?

Die ersten Pressemitteilungen deutscher Datenschutzbehörden (etwa Hamburg, Rheinland-Pfalz, Thüringen und der Bundesbeauftragte für Datenschutz und Informationssicherheit) lassen erkennen, dass diese zunächst die Abstimmung auf nationaler und europäischer Ebene suchen, um ein einheitliches Vorgehen zu gewährleisten. Falls die Unternehmen, die bisher noch auf Grundlage des EU-US-Privacy-Shield Daten von EU-Bürgern in den USA verarbeiten (lassen), hierdurch etwas Zeit gewinnen, sollte diese gut genutzt werden! Denn die Antwort, ob und wie ein angemessenes Datenschutzniveau auch in den USA gewährleistet werden kann, müssen am Ende die Unternehmen, die Daten von EU-Bürger in den USA verarbeitet (lassen), liefern.

Artikel teilen
Schreibe den ersten Kommentar

Spannende Zeiten im Gesellschaftsrecht. Europäisierung, Internationalisierung, Digitalisierung, Blockchain. Wir diskutieren mit.

Die gewachsene Bedeutung der Fintechs hat Berlin in den vergangenen Jahren zu einem Finanzplatz mit deutschlandweiter Bedeutung gemacht. Als Standort der weltweit wichtigsten Player der Crypto-Szene ist Berlin die neue „Hauptstadt des Geldes“. Bank- und Kapitalmarktrecht gehört zu unseren Schwerpunkten. Gepaart mit unserer Verwurzelung im Berliner Start-up-Ökosystem macht uns das zu einem der gefragtesten Ansprechpartner zu rechtlichen Themen rund um Fintechs und Crypto.

Neuigkeiten

Auch das noch.

  1. Fällt der Sommerurlaub aus? Ferienhausvermietung in der Krise

    Schon die durch aktuelle Rückforderungsansprüche von Kunden...

    5 Aufrufe
  2. „Mrs. Schwesig: Tear Down this Wall“ – Nieder mit innerdeutschen Grenzen

    In der Corona-Krise sind auch harte Einschränkungen der indi...

    1 Aufrufe

Berlin

  1. DIY – gute Idee für die Regulierung?

    Zur Taktik der Selbstregulierung des Kunstmarkts

    1 Aufrufe
  2. Von der Kunst der Unterscheidung – zur Ausstellung „Marken:Zeichen“ der Kunstbibliothek Berlin

    Die aktuelle Ausstellung „Marken:Zeichen“ der Kunstbibliothe...

    1 Aufrufe

Litigation

  1. Wahrheit oder Pflicht? Über Lügen im Gerichtssaal.

    Nach der Jagd, dem beliebtesten Freizeitvergnügen menschlich...

    1 Aufrufe
  2. Email-Ausdrucker setzen sich bei Gerichten durch

    Digitalisierung setzt technische Kompetenz und den Einsatz o...

    1 Aufrufe
  3. VW/Diesel-Muster­fest­stellungs­klage

    Wer hätte das gedacht? Nur etwa eineinhalb Jahre hat das VW/...

    1 Aufrufe

Miete / Immobilien

  1. Auswirkungen der Umsatzsteuersenkung auf Gewerbemietverhältnisse

    19 Aufrufe
  2. Gewerbemietverträge in der Corona-Krise

    Die Corona-Krise stellt zunehmend auch Mieter und Vermieter...

    2 Aufrufe

Mitarbeiter / Kurzarbeit

  1. Einführung von Kurzarbeit in der Corona-Krise – vom Umgang mit „Problemfällen“

    Viele Unternehmen sind durch die Corona-Krise mit der Einfüh...

    1 Aufrufe

Steuern / Bilanz

  1. Die Eigenkapital-Triage steht an – Wer erhält Eigenkapital vom Bund?

    Auf die Liquiditätskrise folgt die Eigenkapitalkrise. Denn w...

    1 Aufrufe

Sustainable Finance

  1. Das „Art. 8*-Produkt“ – eine neue Kategorie in der ESG-Anlageberatung und -Vermögensverwaltung?

    Am 9. Juni hat die Kommission eine Reihe von Entwürfen zur Ä...

    8 Aufrufe
  2. EBA fordert “sustainable lending”

    Am 29. Mai hat die Europäische Bankenaufsichtsbehörde (EBA)...

    3 Aufrufe
  3. Nachhaltigkeit in der Bankenaufsicht – EBA-Aktionsplan und BaFin-Merkblatt veröffentlicht

    Die Einbeziehung von Nachhaltigkeitserwägungen nimmt auch im...

    2 Aufrufe

Unternehmen

  1. Die Reform des Personengesellschaftsrechts schreitet voran: Ein Überblick zum „Mauracher Entwurf“

    Die dringend nötige Reform des Personengesellschaftsrechts s...

    3 Aufrufe
  2. Das Damoklesschwert der Ausgangssperre

    Seit Tagen wird über die Notwendigkeit eines flächendeckende...

    1 Aufrufe
  3. Die Aktiengesellschaft in Quarantäne? Diese Entscheidungen müssen Vorstände und Aufsichtsräte jetzt zu Jahresabschluss, Hauptversammlung und Dividende treffen.

    In den ersten Monaten des Jahres beschäftigen sich die meist...

    1 Aufrufe

Vertragsrecht / Force Majeure

  1. Fällt der Sommerurlaub aus? Ferienhausvermietung in der Krise

    Schon die durch aktuelle Rückforderungsansprüche von Kunden...

    5 Aufrufe
  2. „Hat mein Vertrag Corona?“: Ein Schnelltest für Verträge

    Die Corona-Krise hat offensichtliche Auswirkungen auf die Du...

    1 Aufrufe