Unsere Seite mit Google durchsuchen
Internetrecht Rostock
E-Mail
Rechtsberatung
Informationen für Sie auf 3.128 Seiten - neuster Beitrag: 23.09.2020
Neuster Beitrag: 23.09.2020 Impressum

Mandanteninformation

EuGH-Entscheidung zum US Privacy Shield: Was bedeutet diese Entscheidung für Shopbetreiber?

Die nachfolgende Information gilt ausschließlich für die Betreiber von Internetshops.

Der europäische Gerichtshof hat mit Beschluss vom 16.7.2020 (Aktenzeichen C-311/18) das Privacy-Shield-Abkommen vom 12.07.2016 für ungültig erklärt.

Hintergrund der Entscheidung ist, dass gemäß Art. 45 DSGVO personenbezogene Daten grundsätzlich nur dann in ein Drittland (außerhalb der EU) übermittelt werden dürfen, wenn ein angemessenes Datenschutzniveau im Zielland gewährleistet werden kann.

Der EuGH erklärte den Privacy Shield-Beschluss 2016/1250 der Europäischen Kommission für ungültig. Der Beschluss über Standardvertragsklauseln 2010/87 für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern sei jedoch wirksam.

Hintergrund der EuGH-Entscheidung war die Datenübertragung an Facebook in den USA. Problematisch sind somit aktuell Datenübertragungen in die USA. Davon sind neben Facebook auch Google oder einige Mailversandsysteme, wie MailChimp betroffen.

Der für Shopbetreiber wichtigste Fall dürfte die Datenübermittlung an Google sein, z.B. bei der Nutzung von Google-Analytics, Youtube, Google Maps etc.

Die Einschätzung der Datenschutzkonferenz DSK

Die DSK ist ein Gremium der unabhängigen deutschen Datenaufsichtsbehörden des Bundes und der Länder. Es handelt sich um eine Rechtsauffassung der Datenaufsichtsbehörden, eine rechtliche Bindung gibt es jedoch nicht. Die Einschätzung der DSK ist eindeutig, wesentliche Aspekte haben wir im Text hervorgehoben:

    1. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Das US-Recht, auf das der EuGH Bezug genommen hat, betrifft z. B. die nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order 12 333.

    2. Für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer können die bestehenden Standardvertragsklauseln der Europäischen Kommission zwar grundsätzlich weiter genutzt werden. Der EuGH betonte jedoch die Verantwortung des Verantwortlichen und des Empfängers, zu bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der Union genießen. Nur dann kann entschieden werden, ob die Garantien aus den Standardvertragsklauseln in der Praxis verwirklicht werden können. Wenn das nicht der Fall ist, sollte geprüft werden, welche zusätzlichen Maßnahmen zur Sicherstellung eines dem Schutzniveau in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden können. Das Recht des Drittlandes darf diese zusätzlichen Schutzmaßnahmen jedoch nicht in einer Weise beeinträchtigen, die ihre tatsächliche Wirkung vereitelt. Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.

    3. Die Wertungen des Urteils finden auch auf andere Garantien nach Artikel 46 DSGVO Anwendung wie verbindliche interne Datenschutzvorschriften („binding corporate rules“ – BCR), auf deren Grundlage eine Übermittlung personenbezogener Daten in die USA und andere Drittstaaten erfolgt. Daher müssen auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen. Auch diese Maßnahmen müssen für die übermittelten Daten ein im Wesentlichen gleichwertiges Datenschutzniveau wie in der EU garantieren können.

    4. Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach Artikel 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Artikels 49 DSGVO im Einzelfall erfüllt sind. Zur Anwendung und Auslegung dieser Vorschrift hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht.

    5. Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

Was tun?

Auch wenn die DSK zu Recht darauf hinweist, dass die Datenübertragung in die USA ohne EU-Standard-Vertragsklausel ab sofort unzulässig ist, sehen wir keinen Anlass, Ihnen empfehlen zu müssen, alle Dienste, die Daten in die USA übertragen, sofort abzuschalten.

Wir empfehlen folgendes:

Klären Sie, welcher ihrer Services Daten in die USA übertragen.

Der rechtssichersten Weg wäre natürlich, keine Anbieter zu nutzen, die Daten in die USA übertragen. Dies hätte in der Praxis zur Folge, dass z. B. Googledienste nicht mehr verwendet werden können.

Die Datenübertragung in die USA ist weiterhin möglich, wenn der Anbieter mit Ihnen einen Vertrag mit den sogenannten Standardvertragsklauseln abschließt und durch „weitere Maßnahmen“ datenschutzrechtliche Standards nach EU-Vorgaben gewährleistet.. Standardvertragsklauseln im  Datenschutzrecht sind Klauseln, die von der europäischen Kommission genehmigt wurden. Weitere Informationen zu Standardvertragsklauseln der EU finden Sie hier.

Wir gehen davon aus, dass die Anbieter, wie Google etc., kurzfristig den Transfers von Daten in die USA auf Standardvertragsklauseln stützen werden.  Google hat bereits angekündigt, bestehende Datenverarbeitungsverträge um die entsprechenden Klauseln zu erweitern. Da nach Ansicht der DSK die Vereinbarung auf Grundlage der Standardvertragsklauseln nicht ausreicht, sondern noch weitere Maßnahmen getroffen werden müssen, um eine Weitergabe der Daten in den USA auf EU-Niveau zu bringen, bleibt abzuwarten, wie die Anbieter die Vorgaben des EuGH konkret umsetzen werden.

Wir gehen ferner davon aus, dass weder die Datenschutzbehörden noch Wettbewerber aktuell gegen Seitenbetreiber vorgehen werden, die z.B. Google-Dienste nutzen.

Der rechtssichersten Weg wäre sicherlich, die entsprechenden Dienste bis zur abschließenden Klärung und Überarbeitung der Bedingung durch die Anbieter nicht mehr zu nutzen. Die Nachteile für Ihr Unternehmen wären jedoch in der Regel erheblich.

Aus diesem Grund halten wir es für vertretbar, Dienste, die Daten in die USA übertragen zunächst weiter zu nutzen. Bitte beobachten sie genau bzw. fragen Sie bei den von Ihnen genutzten Diensten nach, wann dort mit einer Aktualisierung und Anpassung der datenschutzrechtlichen Vorgaben zu rechnen ist.

Stand: 05.08.2020