In seiner jüngsten Entscheidung hat der EuGH (EuGH vom 16.07.2020 zu C-311/18) erkannt, dass das US Privacy Shield zwischen der EU und den USA die Rechte der europäischen Bürger nicht ausreichend schützt und daher nicht gilt. Diese Entscheidung hat weitreichende Folgen, da die Übermittlung personenbezogener Daten in die Vereinigten Staaten in den meisten Fällen auf das US Privacy Shields gestützt wird.
Was ist das US Privacy Shield?
Die Übermittlung personenbezogener Daten an Drittstaaten (Staaten außerhalb der EU) ist nur zulässig, wenn die in Art 44ff DSGVO genannten Bedingungen eingehalten werden. Gemäß Art 45 DSGVO ist die Datenübermittlung auf Grundlage eines von der EU-Kommission gefassten sogenannten Angemessenheitsbeschlusses an einen Drittstaat zulässig. Das US Privacy Shield soll sicherstellen, dass der Datenschutz von Europäern durch US-amerikanische Unternehmen wahrgenommen wird und stellte so die Grundlage für den Angemessenheitsbeschluss dar.
Was bedeutet der Wegfall des US Privacy Shield?
Durch den Wegfall des US Privacy Shield ist die Übermittlung personenbezogener Daten an US-amerikanische Dienstleister (darunter etwa: Facebook, Google, Amazon, MailChimp oder auch Microsoft) ab sofort unzulässig, sofern nicht ein anderer in der DSGVO genannter Grund für die Datenübermittlung vorliegt.
Welche anderen Möglichkeiten gibt es, um personenbezogene Daten rechtskonform in die Vereinigten Staaten zu übermitteln?
Der einfachste Weg ist der Abschluss sogenannter „Standard Contractual Clauses“. Dabei handelt es sich um Standardverträge, die von der EU vorgegeben sind. Wir empfehlen, dass alle Unternehmen prüfen, ob sie US-amerikanische Dienstleister nutzen und wenn ja, ob mit diesen Standardvertragsklauseln unterfertigt wurden.
Sollte das Unternehmen mit dem Dienstleister keine Standardvertragsklauseln abgeschlossen haben, muss dies umgehend nachgeholt werden, andernfalls die Übermittlung personenbezogener Daten unzulässig ist.
Was passiert, wenn ein Unternehmen keine Maßnahmen ergreift?
Wenn Unternehmen personenbezogener Daten ohne Rechtsgrundlage in die Vereinigten Staaten übermitteln können die Datenschutzbehörden Strafen in Höhe von bis zu EUR 20 Mio. oder 4% des weltweiten Jahresumsatzes nach sich ziehen. Darüber hinaus haben die Betroffenen (also diejenigen, deren personenbezogene Daten verarbeitet werden) die Möglichkeit Schadenersatzansprüche gegen das Unternehmen geltend zu machen.
Sollten Sie Fragen zur Übermittlung personenbezogener Daten ins Ausland haben, steht Ihnen Mag. Markus Dörfler (markus.doerfler@h-i-p.at) gerne jederzeit zur Verfügung.