Ausreiseverbot für europäische Daten?

Infolge der Corona-Pandemie können nur noch sehr wenige EU-Bürger in die USA einreisen. Für unsere Daten garantierte bislang noch das EU-US-Privacy-Shield nahezu unbeschränkte Reisefreiheit. Vor dem Datenhunger der US-Behörden biete das Privacy-Shield aber keinen ausreichenden Schutz, urteilte nun der EuGH – und erklärt den Schutzschild mit sofortiger Wirkung für ungültig.

Worum geht es?

Im Anwendungsbereich der Europäischen Datenschutz-Grundverordnung dürfen personenbezogene Daten nur dann in Länder außerhalb der Europäischen Union übermittelt werden, wenn diese ein angemessenes Datenschutzniveau vorweisen. Die EU-Kommission kann in einem sog. Angemessenheitsbeschluss positiv feststellen, dass ein bestimmtes Land ein angemessenes Datenschutzniveau hat. Einen solchen Angemessenheitsbeschluss hatte die EU-Kommission bislang für 13 Länder erlassen, z.B. Kanada, Israel, Japan, die Schweiz.

Einer der 13 Angemessenheitsbeschlüsse stach wegen seiner Besonderheit hervor: Der Angemessenheitsbeschluss der EU-Kommission für die USA stellte gerade kein angemessenes Datenschutzniveau in den USA insgesamt fest. Ein angemessenes Schutzniveau sollte nur bei der Datenverarbeitung durch solche US-Unternehmen bestehen, die sich den Regeln des EU-US-Privacy-Shield unterworfen hatten. Die Liste der zertifizierten US-Unternehmen ist öffentlich einsehbar auf der Seite https://www.privacyshield.gov/.

Für die Kooperation deutscher Unternehmen mit zertifizierten US-Unternehmen, bedeutete das EU-US-Privacy-Shield eine massive Erleichterung. Denn ohne Angemessenheitsbeschluss müssen Unternehmen bei Übermittlung personenbezogener Daten außerhalb der EU selbst für ein angemessenes Schutzniveau durch die Verwendung und Durchsetzung sog. Standardvertragsklauseln, die von der EU-Kommission noch unter Geltung der EU-Datenschutzrichtlinie zur Verfügung gestellt werden, sorgen.

Und was sagt der EuGH dazu?

Der EuGH erklärt in seinem Urteil vom 16. Juli 2020 in der Rechtssache C-311/18 (das vorlegende irische Gericht hat über die Verarbeitung von personenbezogenen Daten durch die irische Facebook-Tochter in den USA zu entscheiden) die Angemessenheitsentscheidung der EU-Kommission zum EU-US-Privacy-Shield für ungültig – und das ausdrücklich mit sofortiger Wirkung. Denn das EU-US-Privacy-Shield biete keinen hinreichenden Schutz der EU-Bürger vor der Überwachung durch US-Behörden.

Gegen die Standardvertragsklauseln der EU-Kommission hat der EuGH dagegen ausdrücklich nichts einzuwenden. Diese können jedoch ihre Wirkung nur dann entfalten, wenn das datenempfangende Drittunternehmen die Vorgaben der Standardvertragsklauseln auch tatsächlich einhalten kann.

Alles easy dank Standardvertragsklauseln?

Leider nein. Dieselben Gegebenheiten des US-Rechts, gegen die nach dem EuGH-Urteil auch das EU-US-Privacy-Shield keinen hinreichenden Schutz bieten konnte, lassen es zweifelhaft erscheinen, ob US-Unternehmen ohne Weiteres den Verpflichtungen der Standardvertragsklauseln wirklich effektiv nachkommen können. Organisatorische und/oder technische Lösungen – z.B. eine starke Pseudonymisierung vor der Übermittlung personenbezogener Daten, die durch das US-Unternehmen nicht auflösbar ist – sind zwar denkbar, deren Implementierung bedeutet aber zusätzlichen Aufwand und kann je nach Geschäftsmodell kompliziert sein.

Und jetzt keine Daten mehr in die USA?

Wohl eher nicht. Was rechtlich sicherlich die einfachste Lösung wäre, scheint faktisch ausgeschlossen. Auch wenn in Zeiten der Corona-Pandemie kaum noch Europäer in die USA einreisen (können), überqueren unsere Daten den Atlantik täglich mit Leichtigkeit. Die meisten nutzen nicht nur Facebook, sondern auch Twitter, iPhones, Google und so weiter. Auch wenn wir bleiben, reisen unsere Daten dabei in aller Regel in die USA.

Und auch europäische Unternehmen kommen, wenn sie in großem Umfang Daten verarbeiten, an US-Unternehmen – sei es die IBM Cloud, die Server der Amazon Web Services, oder die Microsoft Cloud – kaum vorbei.

Teilweise bieten US-Unternehmen an, sicherzustellen, dass personenbezogene Daten nur auf Servern mit Standort in der EU verarbeitet werden. Ob dies langfristig den EuGH bzw. die Datenschutzbehörden der europäischen Staaten zufriedenstellen kann, ist jedoch fraglich. Denn der potentielle Hunger von US-Behörden auf von US-Unternehmen verarbeiteten personenbezogenen Daten ist seit dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ausdrücklich nicht mehr auf US-Staatsgebiet beschränkt.

Und jetzt?

Die ersten Pressemitteilungen deutscher Datenschutzbehörden (etwa Hamburg, Rheinland-Pfalz, Thüringen und der Bundesbeauftragte für Datenschutz und Informationssicherheit) lassen erkennen, dass diese zunächst die Abstimmung auf nationaler und europäischer Ebene suchen, um ein einheitliches Vorgehen zu gewährleisten. Falls die Unternehmen, die bisher noch auf Grundlage des EU-US-Privacy-Shield Daten von EU-Bürgern in den USA verarbeiten (lassen), hierdurch etwas Zeit gewinnen, sollte diese gut genutzt werden! Denn die Antwort, ob und wie ein angemessenes Datenschutzniveau auch in den USA gewährleistet werden kann, müssen am Ende die Unternehmen, die Daten von EU-Bürger in den USA verarbeitet (lassen), liefern.

Artikel teilen
Schreibe den ersten Kommentar

Spannende Zeiten im Gesellschaftsrecht. Europäisierung, Internationalisierung, Digitalisierung, Blockchain. Wir diskutieren mit.

Die gewachsene Bedeutung der Fintechs hat Berlin in den vergangenen Jahren zu einem Finanzplatz mit deutschlandweiter Bedeutung gemacht. Als Standort der weltweit wichtigsten Player der Crypto-Szene ist Berlin die neue „Hauptstadt des Geldes“. Bank- und Kapitalmarktrecht gehört zu unseren Schwerpunkten. Gepaart mit unserer Verwurzelung im Berliner Start-up-Ökosystem macht uns das zu einem der gefragtesten Ansprechpartner zu rechtlichen Themen rund um Fintechs und Crypto.

Neuigkeiten

Auch das noch.

  1. Fällt der Sommerurlaub aus? Ferienhausvermietung in der Krise

    Schon die durch aktuelle Rückforderungsansprüche von Kunden...

    5 Aufrufe
  2. Corona rückt die Maßstäbe zurecht – auch und gerade in der Krankenversorgung

    Nach Corona wird vieles anders sein. Vieles hoffentlich zum...

    1 Aufrufe
  3. Sommerhaus – später?

    Mecklenburg-Vorpommern ist mit seinem Vorhaben gescheitert...

    1 Aufrufe

Litigation

  1. Wahrheit oder Pflicht? Über Lügen im Gerichtssaal.

    Nach der Jagd, dem beliebtesten Freizeitvergnügen menschlich...

    3 Aufrufe
  2. VW/Diesel-Muster­fest­stellungs­klage

    Wer hätte das gedacht? Nur etwa eineinhalb Jahre hat das VW/...

    2 Aufrufe
  3. Bankenaufsicht durch die EZB: Klagen zeigen erste Erfolge

    Als Reaktion auf die Finanzkrise und ihre Nachwirkungen hat...

    1 Aufrufe

Miete / Immobilien

  1. Auswirkungen der Umsatzsteuersenkung auf Gewerbemietverhältnisse

    3 Aufrufe
  2. Eigentor von Adidas ? Unberechtigte Kritik wegen Nichtzahlung von Ladenmieten

    Ein Lehrstück dafür, vor welchen Herausforderungen Vorstände...

    1 Aufrufe

Mitarbeiter / Kurzarbeit

  1. Einführung von Kurzarbeit in der Corona-Krise – vom Umgang mit „Problemfällen“

    Viele Unternehmen sind durch die Corona-Krise mit der Einfüh...

    1 Aufrufe

Steuern / Bilanz

  1. Verkauf von Gutscheinen – Rettung in der Not?

    In der Corona-Krise versuchen Restaurants und Geschäfte ihre...

    1 Aufrufe

Sustainable Finance

  1. Das „Art. 8*-Produkt“ – eine neue Kategorie in der ESG-Anlageberatung und -Vermögensverwaltung?

    Am 9. Juni hat die Kommission eine Reihe von Entwürfen zur Ä...

    48 Aufrufe
  2. Sustainable Corporate Governance: Nachhaltigkeit als Unternehmensinteresse?

    Nachhaltigkeit entwickelt sich von einem gesellschaftlich zu...

    11 Aufrufe
  3. Nun sag‘, wie hast du‘s mit der Nachhaltigkeit?

    Der Wandel zu einer nachhaltigen Wirtschaft soll durch höher...

    8 Aufrufe

Unternehmen

  1. Die Reform des Personengesellschaftsrechts schreitet voran: Ein Überblick zum „Mauracher Entwurf“

    Die dringend nötige Reform des Personengesellschaftsrechts s...

    2 Aufrufe
  2. Das Damoklesschwert der Ausgangssperre

    Seit Tagen wird über die Notwendigkeit eines flächendeckende...

    1 Aufrufe
  3. Eigentor von Adidas ? Unberechtigte Kritik wegen Nichtzahlung von Ladenmieten

    Ein Lehrstück dafür, vor welchen Herausforderungen Vorstände...

    1 Aufrufe

Vertragsrecht / Force Majeure

  1. Fällt der Sommerurlaub aus? Ferienhausvermietung in der Krise

    Schon die durch aktuelle Rückforderungsansprüche von Kunden...

    5 Aufrufe
  2. Zahlungsaufschub in der Corona-Krise: Moratorium sichert Grundversorgung

    Abhilfe für Corona-bedingte Zahlungsschwierigkeiten bei Verb...

    2 Aufrufe