Datenschutz-Urteil – Abkommen "Privacy Shield" ist ungültig
Haben Sie schon einmal vom „Privacy-Shield-Abkommen“ gehört? Nein? Hinter dem Namen steckt ein ca. zwei Jahre altes Datentransferabkommen zwischen Europa und den USA. Dieses Abkommen regelt den Schutz personenbezogener Daten, die von Europa in die USA übertragen werden. In diesem Blogartikel möchten wir die Folgen erläutern, die dieses Urteil für Internetnutzende und Unternehmen hat.
Was ist „Privacy Shield“?
Das Abkommen umfasst ein Paket an Regelungen, die zum Großteil den Datenschutz betreffen. Darunter fallen Grundsätze, die von amerikanischen Unternehmen einzuhalten sind, sowie feste Vereinbarungen der US-amerikanischen Bundesregierung für den Datenzugriff durch Behörden. Europäische Bürger:innen wurde die Möglichkeit eingeräumt Ansprüche gegenüber amerikanischen Unternehmen geltend zu machen, in dem sie eine Beschwerde einreichen. Datenschützer:innen kritisierten an dem Abkommen einen mangelnden Rechtsschutz für Betroffene.
Wieso wurde das Abkommen für ungültig erklärt?
Die Richter:innen des Europäischen Gerichtshofs urteilten, dass die Zugriffsmöglichkeiten der US-Behörden den Anforderungen des europäischen Datenschutzrechts nicht gerecht werden. Für Betroffene gebe es nur einen unzureichenden Rechtsschutz. Das Urteil ist das Ergebnis eines jahrelangen Rechtstreits. Hintergrund war die Frage, ob Facebook die Daten seiner User von Irland in die USA übersenden darf, obwohl Facebook in den USA gegenüber den US-Behörden zur Herausgabe der Daten der Facebook User verpflichtet ist, ohne dass betroffene User hiergegen vorgehen konnten.
Was bedeutet das Urteil für Unternehmen und Internetnutzende?
In vielen Fällen ist die Datenübertragung personenbezogener Daten aus Europa in die USA ab sofort unzulässig, sofern die Datenübertragung auf das Privacy-Shield-Abkommen gestützt wurde. Teilweise findet der Datenaustausch jedoch auch aufgrund von sogenannten Standardvertragsklauseln (Standard Contractual Clauses, kurz SCCs) statt, die nach dem Urteil weiterhin grundsätzlich zulässig bleiben. Die Richter:innen betonten in ihrem Urteil allerdings, dass Voraussetzung für die Anwendbarkeit der SCCs ein gleichwertiges Datenschutzniveau in den USA wie in Europa sei. Großen europäischen Firmen drohen jetzt Bußgelder nach der DS-GVO. Deshalb ist zu erwarten, dass viele nach „Privacy-Shield“ zertifizierte Unternehmen nun ebenfalls SCCs mit ihrer Kundschaft vereinbaren werden. Für Internetnutzende, die im Internet einkaufen, Flüge buchen oder E-Mails verschicken gibt es keine Einschränkungen. Diese Tätigkeiten bleiben ohne das ungültige Datenschutzabkommen möglich. Dieser Datentransfer ist nach der DS-GVO rechtskonform.