Mit Urteil vom 16.07.2020 hat der Europäische Gerichtshof das Privacy-Shield-Abkommen zwischen der EU und den USA für nichtig erklärt. Viele Datenübertragungen in die USA wurden durch dieses Abkommen gerechtfertigt und müssen unverzüglich eingestellt werden, wenn keine alternative Lösung angeboten wird. Andernfalls drohen Bußgelder und Schadensersatzansprüche.
Rechtliche Ausgangslage
Die datenschutzrechtliche Zulässigkeit einer Datenübermittlung ins EU-Ausland wird in zwei Schritten geprüft:
Nachdem also zunächst wie üblich zu prüfen ist, ob die Datenverarbeitung an sich durch das ausländische Unternehmen nach den europäischen Datenschutzvorgaben zulässig ist (z. B. aufgrund Vertragserfüllung oder Einwilligung), ist danach zu fragen, ob das Drittland ein angemessenes Datenschutzniveau besitzt, um die rechtmäßige Datenverarbeitung wie in der Europäischen Union zu gewährleisten.
In folgenden vier Fällen wird davon ausgegangen, dass in dem Drittland ein angemessenes Datenschutzniveau eingehalten wird:
Ende der Rechtfertigung über das Privacy-Shield-Abkommen
Für einen Datentransfer in die USA fingierte das Privacy-Shield-Abkommen als Nachfolger des Safe-Harbor-Abkommens die Angemessenheit des Datenschutzniveaus in den USA, soweit sich das verarbeitende amerikanische Unternehmen entsprechend registrieren hat lassen (vgl. www.privacyshield.gov/list).
Nach dem Urteil des EuGH vom 16.07.2020, der im vorliegenden Fall unzureichende datenschutzrechtliche Garantien gesehen hat, kann das Abkommen nun nicht mehr als Rechtfertigung des angemessenen Datenschutzniveaus herangezogen werden.
Anpassung des Einwilligungs-Banners
Daher muss die Cookie-Einwilligung so ausgestaltet werden, dass der Nutzer umfassend über die Folgen seiner Einwilligung informiert wird, er aber auch aktiv und gesondert jeder Analyse- oder Marketing-Maßnahme zustimmen muss. Eine Vorauswahl oder eine einseitige, farbige Hervorhebung der Einwilligungsmöglichkeit dürfte daher rechtswidrig sein.
In der Konsequenz muss die Website so programmiert sein, dass Cookies erst „gesetzt“ werden, nachdem die jeweilige Einwilligung erteilt wurde. Dies gilt nicht für funktionsnotwendige Cookies. Außerdem muss ein Widerruf der Einwilligung möglich sein. Einige IT-Hersteller bieten bereits gut verwendbare Systeme an.
Unabdingbar ist daneben das Einfügen einer umfassenden Datenschutzerklärung, da der Website-Betreiber beim Betrieb einer Website einer ständigen Informationspflicht unterliegt.
Folgen für die Praxis
Datenverarbeitungen mit Bezug zu den USA, insbesondere Auftragsverarbeitungen, können nicht länger auf den Angemessenheitsbeschluss der EU in Form des Privacy-Shield-Abkommens gestützt werden.
Bisher war das Privacy-Shield-Abkommen in den allermeisten Fällen Grundlage für die Übertragung von personenbezogenen Daten in die USA. Nachdem der EuGH dies nun für unzureichend erklärt hat, besteht daher in vielen Fällen Handlungsbedarf.
Die datenverarbeitenden Unternehmen in den USA können sich jetzt nur noch auf die verbleibenden drei Möglichkeiten zur Gewährleistung eines angemessenen Datenschutzniveaus stützen: Entweder muss ein Auftragsdatenverarbeitungsvertrag mit Standarddatenschutzklauseln geschlossen werden, es müssen genehmigte Binding Corporate Rules vorliegen oder eine gesetzlich vorgeschriebene Zertifizierung muss durchlaufen werden. In der Praxis dürfte allerdings nur die Verwendung von Standarddatenschutzklauseln mit vertretbarem Aufwand umsetzbar sein.
Werden diese Vorgaben nicht eingehalten, ist die Datenübertragung rechtswidrig und kann zu Bußgeldern oder Schadensersatzansprüchen führen. Es ist zu erwarten, dass ausländische IT-Unternehmen kurzfristig Datenverarbeitungen über Niederlassungen in Europa steuern.
Empfehlung für die Praxis
Unternehmensleitungen sollten prüfen, ob sie personenbezogene Daten im EU-Ausland verarbeiten bzw. verarbeiten lassen, so wie dies z. B. häufig bei Cloud-Lösungen der Fall ist. Anschließend sollte sichergestellt werden, dass auch nach Wegfall des Privacy-Shield-Abkommens die datenschutzrechtlichen Vorgaben eingehalten werden. In vielen Fällen wird der Abschluss eines rechtskonformen Auftragsverarbeitungsvertrages mit dem jeweiligen amerikanischen Unternehmen erforderlich sein.
Gerne beraten wir Sie zu den Auswirkungen des Wegfalls des Privacy-Shield-Abkommens für Ihr Unternehmen und stellen Ihnen rechtssichere Verträge für Auftragsdatenverarbeitungsvorgänge zur Verfügung. Sprechen Sie uns gerne an.
Alexander Brittner, LL.M.
Rechtsanwalt, Datenschutzbeauftragter (TÜV)
E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 9136189