{"id":623,"date":"2020-07-22T20:36:14","date_gmt":"2020-07-22T18:36:14","guid":{"rendered":"http:\/\/blog.eprivacy.eu\/?p=623"},"modified":"2020-12-09T20:36:59","modified_gmt":"2020-12-09T19:36:59","slug":"eugh-kippt-privacy-shield-abkommen","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=623&lang=de","title":{"rendered":"EuGH kippt &#8222;Privacy Shield&#8220; &#8211; Abkommen"},"content":{"rendered":"\n<p>Am 16.Juli entschied der Europ\u00e4ische Gerichtshof, dass das \u201ePrivacy Shield\u201c-Abkommen zwischen der Europ\u00e4ischen Union und den USA nicht weiter zur Privilegierung von Datentransfers in die USA herangezogen werden darf. Wir m\u00f6chten die kurz- und mittelfristigen Folgen f\u00fcr Unternehmen in der EU und in den USA kurz zusammenfassen und auch einen Blick auf Datentransfers in andere Nicht-EU-Staaten werfen.<br>&nbsp;<br><strong>1.&nbsp;&nbsp;&nbsp;&nbsp; Internationale Datentransfers nach der DSGVO<\/strong><br>Zun\u00e4chst allgemein zu den Voraussetzungen des internationalen Datentransfers: Wann immer Daten aus der EU an einen Empf\u00e4nger in einem Drittland versendet werden sollen, h\u00e4ngt die Rechtm\u00e4\u00dfigkeit dieses Transfers von zwei Fragen ab (auch \u201e2-Stufen-Modell\u201c genannt).<\/p>\n\n\n\n<ul><li>Auf der&nbsp;<em>ersten Stufe<\/em>&nbsp;bedarf die \u00dcbertragung an einen Dritten als Datenverarbeitungsvorgang nat\u00fcrlich immer einer Rechtsgrundlage nach Art. 6 DSGVO. (Dies wird h\u00e4ufig beim Drittlandstransfer \u00fcbersehen, wenn man nur auf die zweite Stufe schaut.)<\/li><li>Auf der&nbsp;<em>zweiten Stufe<\/em>&nbsp;stellt sich die Frage, ob eine \u201eDaten\u00fcbermittlung in ein Drittland\u201c nach Art. 44 S. 1 DSGVO vorliegt und wenn ja, ob diese nach den Vorschriften des 5. Kapitels der DSGVO gerechtfertigt ist. Der Gedanke dabei ist, dass das Schutzniveau der Daten durch den Transfer ins Drittland nicht gegen\u00fcber dem Schutzniveau in der EU absinken darf. Um dies sicherzustellen, sieht das 5. Kapitel der DSGVO im Wesentlichen drei Mechanismen vor, wie eine solche Absicherung erfolgen kann: Entweder durch einen Angemessenheitsbeschlusses der EU-Kommission nach Art. 45 DSGVO, durch geeignete Garantien gem. Art. 46 DSGVO oder aufgrund einer Ausnahme nach Art. 49 DSGVO.<\/li><\/ul>\n\n\n\n<p>&nbsp;<br><strong>2.&nbsp;&nbsp;&nbsp;&nbsp; Das EU-US Privacy Shield<\/strong><br>Beim Privacy Shield handelt es sich um eine Vereinbarung zwischen den USA und der EU, die verschiedene Zusicherungen der USA f\u00fcr EU-B\u00fcrger beinhaltet. Aufgrund dieser Absprache fasste die EU-Kommission einen Angemessenheitsbeschluss (2016\/1250) nach Art. 45 DSGVO in Bezug auf diejenigen Unternehmen, die unter dem Privacy Shield zertifiziert waren.<br>&nbsp;<br>Mit seiner heutigen Entscheidung im Vorabentscheidungsverfahren hat der EuGH festgestellt, dass dieser konkrete Angemessenheitsbeschluss&nbsp;<strong>ung\u00fcltig<\/strong>&nbsp;ist.&nbsp;Das hat unmittelbar zur Folge, das Datentransfers in die USA auf der zweiten Stufe nicht mehr auf das Privacy Shield gest\u00fctzt werden k\u00f6nnen.<br>&nbsp;<br>Als Argument f\u00fchrt der EuGH an, dass in diesem Beschluss (ebenso wie schon in der Entscheidung zum Vorg\u00e4ngerprogramm \u201eSafe Harbour\u201c) den Erfordernissen der nationalen Sicherheit, des \u00f6ffentlichen Interesses und der Einhaltung des&nbsp;<em>amerikanischen<\/em>&nbsp;Rechts Vorrang einger\u00e4umt wird, was zu nicht gerechtfertigten Grundrechtseingriffen f\u00fcr EU-B\u00fcrger f\u00fchrt. Insbesondere da die amerikanischen Rechtsvorschriften staatliche \u00dcberwachung in einem aus EU-Sicht unverh\u00e4ltnism\u00e4\u00dfigen Ausma\u00df erlauben,&nbsp;haben die USA auch unter Ber\u00fccksichtigung des Privacy Shield kein der EU vergleichbares Datenschutzniveau. Dar\u00fcber hinaus stellt auch die Einrichtung einer Datenschutzombudsperson keine Ma\u00dfnahme dar, mit der EU-B\u00fcrgern ein effektiver Rechtsschutz gegen\u00fcber US-Beh\u00f6rden und -Gerichten gew\u00e4hrt wird.<br>&nbsp;<br><strong>3.&nbsp;&nbsp;&nbsp;&nbsp; Zukunft der Standarddatenschutzklauseln<\/strong><br>Jetzt wo das Privacy Shield als Absicherungsmechanismus ausscheidet, stellt sich nat\u00fcrlich die Frage, wie ein Datentransfer in die USA stattdessen abgesichert werden kann. Der erste Blick geht dann auf das wichtigste Werkzeug f\u00fcr den internationalen Datentransfer, die Standarddatenschutzklauseln (SCC, auch \u201emodel clauses\u201c) nach Art.&nbsp;46 Abs.&nbsp;2 lit.&nbsp;c DSGVO. Der EuGH hat sich in seiner heutigen Entscheidung auch mit den SCC auseinandergesetzt und (gl\u00fccklicherweise) festgestellt, dass diese zumindest f\u00fcr sich genommen mit der Charta der Grundrechte der EU vereinbar sind und&nbsp;weiterhin g\u00fcltig&nbsp;bleiben.<br>&nbsp;<br>Allerdings hat der EuGH auch deutlich gemacht,&nbsp;dass mit den SCC nicht jeder Transfer in ein&nbsp;<em>beliebiges<\/em>&nbsp;Drittland abgesichert werden kann. Vielmehr k\u00f6nnen die SCC nur dann eingesetzt werden, wenn der Datenexporteur und der Empf\u00e4nger im Drittland gew\u00e4hrleisten, dass die Regelungen der SCC in diesem Drittland auch eingehalten werden k\u00f6nnen. K\u00f6nnen die SCC dagegen nicht eingehalten werden, m\u00fcssen die beteiligten Parteien den Datentransfer beenden. Letztlich l\u00e4uft es also auf die Frage hinaus, ob es im Drittland rechtliche M\u00f6glichkeiten f\u00fcr (staatliche) Institutionen gibt, einen umfangreichen Zugriff auf die Daten zu erhalten, der die Datenschutzgrunds\u00e4tze der EU untergr\u00e4bt.<br>&nbsp;<br>F\u00fcr die USA hat der EuGH mit dieser Entscheidung im Grunde schon vorgegeben, dass die rechtlichen Rahmenbedingungen dort das Einhalten der SCC aufgrund der \u00dcberwachungsgesetze eigentlich unm\u00f6glich machen. Damit im Zusammenhang steht der Auftrag an die Aufsichtsbeh\u00f6rden in den Rz. 106-121 der Entscheidung, dass diese den Datentransfer aufgrund von SCC zu unterbinden haben,&nbsp;<em>wenn<\/em>&nbsp;sich herausstellt, dass die Klauseln im Empf\u00e4ngerland nicht eingehalten werden k\u00f6nnen.<br>&nbsp;<br><strong>4.&nbsp;&nbsp;&nbsp;&nbsp; Fazit<\/strong><br>Nach der EuGH-Entscheidung&nbsp;kann ein Datentransfer in die USA&nbsp;<em>nicht<\/em>&nbsp;mehr auf Basis des Privacy Shields erfolgen. Stattdessen werden viele jetzt wohl auf die SCC zur\u00fcckgreifen (wenn nicht ohnehin schon SCC vereinbart wurden), da diese verh\u00e4ltnism\u00e4\u00dfig schnell neu abgeschlossen werden k\u00f6nnen.&nbsp;Allerdings ist absehbar, dass ein Transfer auf Basis der SCC im Grunde auch nicht haltbar ist&nbsp;und von den europ\u00e4ischen Datenschutzbeh\u00f6rden h\u00f6chstwahrscheinlich bald untersagt werden wird, da die Einhaltung der damit vertraglich zugesicherten Datenschutzstandards in den USA nicht m\u00f6glich ist. Der deutsche Bundesdatenschutzbeauftragte l\u00e4sst in einer ersten&nbsp;<a href=\"https:\/\/eprivacy.us13.list-manage.com\/track\/click?u=9fef4c9644bf7b845f2f920a7&amp;id=822342c431&amp;e=37aad61d36\" target=\"_blank\" rel=\"noreferrer noopener\">Pressemitteilung<\/a>&nbsp;schon erkennen, dass die Beh\u00f6rden hier offenbar schnell handeln wollen.<br>&nbsp;<br>F\u00fcr Unternehmen beiderseits des Atlantiks bedeutet dies selbstverst\u00e4ndlich eine wenig zufriedenstellende Situation. Als letzter Ausweg weist der EuGH in Rz. 202 der Entscheidung darauf hin, dass ein \u201erechtliches Vakuum\u201c durch die Anwendung der Ausnahmetatbest\u00e4nde in Art. 49 DSGVO verhindert werden k\u00f6nnte. In Art. 49 DSGVO sind Ausnahmen f\u00fcr den Fall geregelt, dass ein Datentransfer nicht auf einen Angemessenheitsbeschluss nach Art. 45 oder geeignete Garantien nach Art. 46 DSGVO gest\u00fctzt werden kann. Grunds\u00e4tzlich werden diese Ausnahmeregelungen jedoch restriktiv ausgelegt \u2013 sie sollen gerade nicht massenhaft zur Umgehung des europ\u00e4ischen Datenschutzniveaus eingesetzt werden. Es handelt sich um L\u00f6sungen f\u00fcr sehr spezifische Einzelf\u00e4lle, immer wieder genannt wird zum Beispiel die Buchung einer Reise bei einem ausl\u00e4ndischen Reiseveranstalter.<br>&nbsp;<br>Wir empfehlen daher folgendes Vorgehen: Bis auf Weiteres sollten als erste Ma\u00dfnahme bei allen internationalen Datentransfers in die USA, die derzeit allein vom Privacy Shield gesichert werden, stattdessen die Standardvertragsklauseln eingesetzt werden, um zumindest einen gesetzlich vorgesehenen Sicherungsmechanismus implementiert zu haben. Parallel dazu sollte gepr\u00fcft werden, ob der jeweilige Datentransfer auf eine Ausnahme nach Art. 49 DSGVO gest\u00fctzt werden kann oder ob die Datenverarbeitung insgesamt nach Europa verlagert wird, sofern m\u00f6glich.&nbsp;Derzeit gehen wir n\u00e4mlich davon aus, dass mit denselben Argumenten wie im heute verk\u00fcndeten Urteil auch Datentransfers in die USA (und auch in andere Staaten wie zum Beispiel China) auf der Grundlage der Standarddatenschutzklauseln gekippt werden k\u00f6nnten.<br>&nbsp;<br>Geschrieben am 16. Juli 2020 von Dr. Lukas Mezger, UNVERZAGT Rechtsanw\u00e4lte&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Am 16.Juli entschied der Europ\u00e4ische Gerichtshof, dass das \u201ePrivacy Shield\u201c-Abkommen zwischen der Europ\u00e4ischen Union und den USA nicht weiter zur Privilegierung von<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=623&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/623"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=623"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/623\/revisions"}],"predecessor-version":[{"id":624,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/623\/revisions\/624"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=623"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=623"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=623"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}