EUGH Urteil zum Privacy Shield und die Folgen
Seit Juli 2020 hat das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) die Welt des Datenschutzes ganz schön durcheinandergebracht.
Bis zum Urteil war das sogenannte Privacy-Shield-Abkommen eine gute Möglichkeit, den freien Austausch von Daten zwischen der EU und den USA datenschutzkonform zu ermöglichen. Der EuGH setzte es ersatzlos außer Kraft. Die Politik wurde aufgefordert, eine neue Regelung zu schaffen, die nicht gegen die Datenschutz-Grundverordnung (DSGVO) verstößt.
Ab diesem Zeitpunkt war ein Datentransfer mit den USA nicht unmöglich, aber wesentlich komplizierter geworden. Und personenbezogene Daten wurden und werden zu einem hohen Prozentsatz von den europäischen Unternehmen in die USA transferiert – wie etwa bei den Google- oder Meta-Produkten (Analytics oder Facebook), aber auch bei vielen anderen Anwendungen und Dienstleistungen, auch innerhalb von Konzernen und Unternehmen.
Möglich ist ein solcher Datentransfer auch ohne Privacy Shield, denn die DSGVO lässt als rechtliche Grundlage für solche Fälle die sogenannten Standardvertragsklauseln (SVK) zu.
Diese Standardvertragsklauseln (Englisch: Standard Contractual Clauses) werden immer dann notwendig, wenn es kein Datenschutzabkommen mit einem Land außerhalb der EU gibt. Das sind nicht nur die USA, sondern ebenso eine Vielzahl anderer Staaten. Diese Länder werden als „unsichere Drittländer“ bezeichnet.
Standardvertragsklauseln als Alternative zum Privacy Shield
Die Standardvertragsklauseln (SVK) sind im Prinzip Vertragsvorlagen, die von der EU-Kommission explizit genehmigt wurden und somit auch nicht geändert werden dürfen. Sie stellen sicher, dass die personenbezogenen Daten von uns Europäern im Drittland ausreichend geschützt sind. Die Standardvertragsklauseln werden zwischen Ihnen und dem Empfänger mit Sitz in dem „unsicheren“ Drittland geschlossen.
Sie als Exporteur von personenbezogenen Daten sind verpflichtet dafür Sorge zu tragen, dass Ihr Geschäftspartner, an den Sie personenbezogene Daten übermitteln, das gleiche hohe Datenschutzniveau gewährleistet, wie es innerhalb der EU besteht.
Jetzt könnte man denken, alles gut, diese Standardvertragsklauseln haben wir ja in unseren Verträgen.
So einfach ist es leider nicht, denn die bisher genutzten Standardvertragsklauseln stammen aus den Jahren 2001, 2004 und 2010, und konnten der wirtschaftlichen und rechtlichen Realität nicht mehr standhalten. Die EU-Kommission war daher gezwungen, neue Standardvertragsklauseln zu erarbeiten und zu veröffentlichen, was im Juni 2021 erfolgte. Die bisherigen Standardvertragsklauseln verlieren damit, unter Berücksichtigung einer Frist bis zum 27.12.2022, ihre Gültigkeit.
Fristsetzung – was bedeutet das für Sie?
Sie müssen nun dringend prüfen, an welche Stellen außerhalb der EU Sie zur Zeit personenbezogene Daten auf Basis der bisherigen Standardvertragsklauseln übertragen, sofern Sie das bislang noch nicht getan haben. Dabei handelt es sich nicht nur um Datentransfers an Dienstleister, sondern oft auch um konzerninterne Datenübermittlungen, bspw. wenn die Muttergesellschaft außerhalb der EU niedergelassen ist. Derartige Verträge müssen spätestens zum 27. Dezember 2022 entsprechend der neuen Standardvertragsklauseln angepasst werden. Verträge, die die alten Standardvertragsklauseln zugrunde legen, stellen keine Rechtsgrundlage für den Datentransfer mehr dar!
Sie haben noch Handlungsbedarf? Wir unterstützen Sie gerne – sprechen Sie uns an.
Alles neu und einfach in 2023?
Die USA haben eine Vorlage für ein Nachfolgeabkommen für das Privacy Shield vorgelegt, welches in Q1 des kommenden Jahres in Kraft treten könnte. Allerdings haben hier einige Datenschützer schon Bedenken angemeldet, so dass wir damit rechnen, dass auch über dieses Nachfolgeabkommen erneut vor dem EUGH verhandelt werden wird. Über diese Entwicklung werden wir Sie natürlich informieren. Wenn Sie Fragen haben, melden Sie sich gerne bei uns.