People Intouch hat Organisationen stets davor gewarnt, sensible Unternehmensdaten in den USA zu verarbeiten, da diese Daten somit in Reichweite von Behörden gelangen, die unter Umständen den Datenschutz missachten, darunter das Justizministerium, die Nationale Sicherheitsbehörde oder das Ministerium für Innere Sicherheit der USA. Das Urteil in der Rechtssache „Schrems II“, das der Europäische Gerichtshof vor Kurzem fällte, bestätigt unsere diesbezüglichen Bedenken und unterstreicht noch einmal, dass Unternehmen sich genau überlegen sollten, wo sie ihre sensiblen Daten zu Fehlverhalten verarbeiten.
Am 16. Juli erklärte der Europäische Gerichtshof in seinem „Schrems II“-Urteil den gesetzlichen Rahmen des Datenschutzschilds für unwirksam. Der Datenschutzschild bildete die Rechtsgrundlage, nach der sich über 5.000 Unternehmen zur gesetzeskonformen Übermittlung personenbezogener Daten von Europa in die USA richteten. Auch für Unternehmen, die sich nicht auf den Datenschutzschild zur rechtssicheren Verarbeitung stützen, hat das Urteil des Europäischen Gerichtshofs erhebliche Auswirkungen, rückt es doch die Schwierigkeiten in den Vordergrund, die eine Datenübermittlung in die USA bei Gewährleistung angemessener Datensicherheit mit sich bringt.
Die Datenschutzgrundverordnung (DSGVO) sorgt europaweit für einheitliche Bedingungen zum Schutz personenbezogener Daten innerhalb der EU. Bei der Übermittlung personenbezogener Daten in Länder außerhalb der EU sollte ein gleichwertiges (hohes) Schutzniveau vorhanden sein. Um die grenzüberschreitende Übermittlung in solchen Fällen zu ermöglichen, stellt die Europäische Kommission Beurteilungen der Angemessenheit für spezifische Länder bereit. Einer sogenannten Angemessenheitsentscheidung geht ein Prüfungsverfahren voraus, in das Kriterien wie die Achtung der Rechtsstaatlichkeit, Zugang zur Justiz und die Einhaltung internationaler Menschenrechtsstandards einbezogen werden. Eine Angemessenheitsentscheidung in Bezug auf ein bestimmtes Land dient als Absicherung für die internationale Datenübermittlung in dieses Land. Darüber hinaus kann die Datenübermittlung auch in einer DSGVO-konformen Weise erfolgen, indem die von der Europäischen Kommission genehmigten Standardvertragsklauseln (die sich jedoch derzeit ebenfalls auf dem Prüfstand befinden) oder verbindliche unternehmensinterne Vorschriften angewendet werden.
Der Datenschutzschild war nicht das erste Abkommen, mit dem die Europäische Kommission gleichwertigen Schutz zur Übermittlung personenbezogener Daten in die USA gewährleisten wollte. Vor 20 Jahren wurde mit dem Safe-Harbor-Abkommen bereits ein einschlägiger Beschluss gefasst. Dieses wurde jedoch 2015 im Rahmen von „Schrems I“ für ungültig erklärt, da der Schutz fundamentaler Rechte nicht ausreichend dem in der EU geltenden Niveau entsprach. Die USA stellten augenscheinlich die nationale Sicherheit, das öffentliche Interesse und die Strafverfolgung vor die Safe-Harbor-Prinzipien des Schutzes personenbezogener Daten.
Im Jahr 2016 genehmigte die Europäische Kommission den EU-US-Datenschutzschild offiziell als verbessertes Nachfolgeabkommen zu Safe Harbor. Der Datenschutzschild bot ein freiwilliges Zertifizierungsprogramm, für das sich Unternehmen registrieren konnten. Unternehmen, die eine Zertifizierung erwarben, mussten bestimmte Voraussetzungen erfüllen und sich zu den Prinzipien des Datenschutzschilds bekennen. Diese umfassten unter anderem die Rechenschaftspflicht für die Weiterübermittlung sowie die Verpflichtung zu Datenintegrität, Zugang und Haftung. Am 16. Juli kam der Europäische Gerichtshof jedoch zu dem Urteil, dass auch der Datenschutzschild keine ausreichende Sicherheit gewährleistet. Insbesondere wird durch den Datenschutzschild nicht angemessen garantiert, dass die übermittelten personenbezogenen Daten vor dem Zugriff US-amerikanischer Überwachungsprogramme geschützt sind. Zudem verleiht er europäischen Datensubjekten nur in unzureichender Weise einklagbare Rechte und wirksame Rechtsmittel in den USA.
So wirft das Urteil des Europäischen Gerichtshofs erneut ein Schlaglicht auf die Schwierigkeiten, die mit der Übermittlung sensibler Unternehmensdaten in die USA einhergehen. Da der Datenschutzschild nun für unwirksam erklärt wurde und folglich keine gültige Gesetzesgrundlage für die internationale Datenübermittlung darstellt, müssen vormals Datenschutzschild-konforme Organisationen nun neue Vorkehrungen treffen, um die hohen europäischen Standards zum Datenschutz zu erfüllen. Organisationen, die ihre Daten weiter in Länder außerhalb der EU übermitteln möchten, werden daher eine Einzelfallprüfung vornehmen müssen, um ihre Daten zu schützen.
Weitere Informationen zum „Schrems II“-Urteil des Europäischen Gerichtshofs finden Sie hier.
Sprechen Sie mit unseren Experten
Möchten Sie mehr erfahren, Ideen austauschen oder Meinungen teilen?