EuGH erklärt Datenschutzvereinbarung „Privacy Shield“ zwischen EU und USA für unwirksam

Der Europäische Gerichtshof hat die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA für unwirksam erklärt (Urteil des EuGH vom 16.07.2020, C-311/18). Dies hat weitreichende Folge für den transatlantischen Geschäftsverkehr.

Bereits im Jahr 2015 hatte der EuGH den Vorgänger des Privacy Shield-Abkommens, die Safe Harbor-Regelung gekippt.

Das Privacy Shield sollte das Schutzniveau der Europäischen Datenschutzgrundverordnung (DSGVO) beim Transfer von personenbezogenen Daten von der EU in die USA gewährleisten. US-Unternehmen mussten sich daher als Empfänger von geschützten Daten zertifizieren lassen.

Aufgrund dessen ist nun zu prüfen:


1.
Welche Datenverarbeitungen in den USA stattfinden und ob diese bis dato aufgrund der Privacy Shield-Zertifizierung Ihres US-Geschäftspartners legitimiert wurden.


2.
Diese Geschäftspartner sollten kontaktiert werden, um zu klären, welche rechtlichen Alternativen in Betracht kommen, um die Datenverarbeitung weiterhin in den USA durchzuführen. Diese sind z.B.:

a) sog. Standardvertragsklauseln:

Hierbei handelt es sich um Musterverträge, die die EU stellt. Gerne beraten wir Sie hinsichtlich der Auswahl des geeigneten Vertrags und des weiteren Procedere.

b) sog. Binding Corporate Rules:

Dies sind verbindliche Unternehmensrichtlinien zur Sicherstellung eines der DSGVO entsprechenden Schutzniveaus bei der Datenübermittlung.

Zu beachten ist allerdings, dass dies ein langwieriger Prozess ist und die Genehmigung durch die zuständige Datenschutzaufsichtsbehörde erfordert.

c) Verlagerung der Datenverarbeitung in die EU oder in ein sonstiges sicheres Drittland

Als letzte Möglichkeit ist daher in Betracht zu ziehen, die Datenverarbeitung in die EU oder in ein sonstiges sicheres Drittland (wie beispielsweise Japan, Israel, Schweiz, Argentinien, Kanada, Neuseeland oder Uruguay) zu verlagern, um die Problematik hierdurch faktisch zu erledigen.

3.
Nachdem die Abläufe angepasst wurden, sind die Datenschutzerklärungen entsprechend anzupassen, soweit diese darüber informieren, dass eine Datenverarbeitung in den USA mit einem durch das Privacy Shield-zertifizierten Geschäftspartner stattfindet. Dort ist sodann die neue Rechtsgrundlage für die Übermittlung der Daten anzugeben.

Entsprechendes gilt für Ihre interne Verfahrensdokumentation und abgeschlossene Auftragsverarbeitungsverträge, z.B. Hosting, Software as a Service etc., soweit ein US-Auftragsverarbeiter oder ein US-Subunternehmer eingeschaltet wurde.

Da die Entscheidung des Europäischen Gerichtshofs erhebliche, EU-weite Auswirkungen hat, ist davon auszugehen, dass die Datenschutzaufsichtsbehörden den betroffenen Unternehmen zunächst eine Übergangszeit gewähren, um ihre Prozesse anzupassen bevor aufsichtsrechtliche Maßnahmen drohen. Dies war nach der Entscheidung über die Nichtigkeit des Safe Harbor-Abkommens ebenfalls so.

Ob dieser Aufschub jedoch genauso für wettbewerbsrechtliche Abmahnungen durch Konkurrenten oder sonstige Verbände gilt, bleibt abzuwarten. Daher sollte eine zeitnahe Lösung gefunden werden.


Gerne berät Sie hierzu unser Kompetenzteam "Unternehmen und Wirtschaft".

 

Ihr Ansprechpartner:

Rechtsanwalt Tim Schwarzburg
Fachanwalt für Arbeitsrecht
Fachanwalt für Handels- und Gesellschaftsrecht

 

1 2

Wie können wir Ihnen helfen?

Gerne nehmen wir Ihre Anfrage entgegen. Damit wir Ihnen so schnell wie möglich antworten können, benötigen wir nur Ihre Kontaktdaten.
Informationen zur Verarbeitung Ihrer Daten bei Nutzung dieses Kontaktformulars finden Sie unter dem Menüpunkt Datenschutz.

Kontaktformular

fieldset
captcha

Koblenz
Mainzer Straße 108
56068 Koblenz
Telefon 0261 3013 0
Telefax 0261 3013 23
kanzlei@SPAMPROTECTIONkunzrechtsanwaelte.de  


Köln
Antoniterstraße 14-16
50667 Köln
Telefon 0221 9218010
Telefax 0221 9218019
kanzlei@SPAMPROTECTIONkunzrechtsanwaelte.de

 

Mainz
Haifa-Allee 38
55128 Mainz
Telefon 06131 97176-70
Telefax 06131 971767-71
kanzlei@SPAMPROTECTIONkunzrechtsanwaelte.de