EU kippt „Privacy Shield“ – Was Unternehmen jetzt tun müssen

Die Auswirkungen des EuGH-Beschlusses auf den transatlantischen Datenaustausch sind dramatisch. Für Unternehmen entfällt die Legitimation für Datentransfers unter dem Privacy Shield-Abkommen, nachdem der EuGH in Luxemburg in seinem am 16. Juli 2020 veröffentlichten Urteil das Datenschutzabkommen Privacy Shield zwischen der EU und den USA für ungültig erklärt hat. Die Anforderungen an den Datenschutz seien nicht gewährleistet, begründet der Gerichtshof seine Entscheidung. Das Abkommen erfülle nicht die Anforderungen für einen dem Unionsrecht gleichwertigen Datenschutz. Den Betroffenen sei es nicht möglich, ihre Rechte gegenüber amerikanischen Institutionen durchzusetzen. Die EU-Standardklauseln bleiben als Rechtsgrundlage aber weiterhin gültig.

Hintergrund ist eine Beschwerde des österreichischen Datenschützers Max Schrems. Der Jurist hatte beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Er begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen, ohne dass Betroffene dagegen vorgehen könnten.

Unternehmen sollten daher schnellstens ihre Verträge zur Auftragsverarbeitung im USA-Geschäft überprüfen. Mit der Kündigung des Privacy Shield-Abkommens sind jetzt individuelle Regelungen erforderlich. Es bleibt abzuwarten, wie schnell die vertraglichen Anpassungen sowie die Änderungen in den Datenschutzerklärungen tatsächlich erfolgen müssen. 2015 wurde anlässlich des ebenfalls vom EuGH gekippten Vorgängers des Privacy-Shield Abkommens, dem Safe-Harbor-Abkommen, ein dreimonatiges Moratorium vereinbart. Die Unternehmen hatten folglich – wenn auch nur kurz – Zeit zu reagieren. Auch jetzt wurde seitens der EU-Kommission wieder die zügige Aufnahme von Gesprächen mit den USA in Aussicht gestellt. Ob die aktuelle US-Regierung jedoch bereit sein wird, Zugeständnisse in Richtung Europa zu machen, darf allerdings stark bezweifelt werden. Auch der anstehende Präsidentschaftswahlkampf dürfte solche Gespräche nicht gerade erleichtern. Umso mehr sind kurzfristig vertragliche Individuallösungen geboten. Witzel Erb Backu & Partner berät und gestaltet erforderliche Neuausrichtungen dieser Verträge unter Einbeziehung der EU-Standardklauseln.

Danielle Hertneck, Fachanwältin für IT-Recht, Fachanwältin für Gewerblichen Rechtsschutz hertneck@web-partner.de