Der Europäische Gerichtshof in Luxemburg hat am 16. Juli 2020 das sog. Privacy Shield, das eine der rechtlichen Grundlagen für die DSGVO-konforme Übermittlung personenbezogener Daten in die USA gewährleisten sollte, für ungültig erklärt.
Mit diesem sog. Transferinstrument könne ein angemessenes Datenschutzniveau nicht sichergestellt werden (Urteil v. 16.07.2020, Az. C-311/18, Schrems II). Hintergrund des Urteils war eine Beschwerde des Datenschutzaktivisten Max Schrems hinsichtlich der Übermittlung solcher Daten von Facebook Irland an den US-amerikanischen Mutterkonzern.
Die Übermittlung personenbezogener Daten in die Vereinigten Staaten kann nun nicht mehr auf das Privacy Shield gestützt werden.
Hintergrund: DSGVO gibt auch Regeln für die Weiterleitung von Daten vor
Die DSGVO gilt nicht nur für die Verarbeitung von personenbezogenen Daten innerhalb der EU. Sie stellt auch Regeln für die Fälle auf, in denen derartige Daten in Drittstaaten, also nach Außerhalb der Europäischen Union, übermittelt werden. Dazu gehört, dass ein angemessenes Datenschutzniveau hergestellt werden muss, das jenem in der EU gleicht.
Die speziellen Anforderungen an die Übermittlung in ein Drittland können auf verschiedenen Wegen erfüllt werden:
Zum einen hat die EU-Kommission die Möglichkeit, die Angemessenheit des Datenschutzniveaus im Drittland schlichtweg festzustellen. Diese Möglichkeit hatte sie im Hinblick auf die Übermittlung in die USA mit dem Beschluss des Privacy Shields wahrgenommen. Zum anderen können sogenannte Standardverträge, Codes of Conduct oder ähnliches genutzt werden, um die Anforderungen grundsätzlich zu erfüllen. Für bestimmte Datenübermittlungen sieht die DSGVO davon ab außerdem auch Ausnahmeregelungen vor.
Datenschutzstandard kann in den USA nicht eingehalten werden
Im Verfahren zwischen Kläger Max Schrems und Facebook Ireland Ltd. ging es nun um den angemessenen Schutz. Schrems kritisierte dabei besonders, dass US-Behörden wie die NSA weitgehende Zugriffsmöglichkeiten auf personenbezogene Daten hätten. Auch würden Schutzmechanismen fehlen, mit denen Betroffene aus der EU Rechtsschutz suchen könnten. Damit stand die Frage im Raum, ob das zugesicherte Datenschutzniveau eingehalten werden kann.
Mit dem Privacy Shield, so der Europäische Gerichtshof, könne das angemessene Datenschutzniveau wegen der besagten Zugriffsmöglichkeiten in den USA nicht sichergestellt werden. Deswegen sei diese Vereinbarung ungültig.
Betroffen ist damit jede Verarbeitung personenbezogener Daten, bei denen diese an Unternehmen mit Sitz in den USA oder auf US-amerikanische Server übertragen werden. Man kann nun nicht mehr vom Einhalten der Datenschutzstandards ausgehen, wenn man sich auf das Privacy Shield stützt. Betroffen sind dadurch etwa Social-Media-Netzwerke, Cloud-Anbieter oder auch Händler, wenn diese auf der Basis des Privacy Shields Daten in die USA übermitteln.
Standardvertragsklauseln bleiben grundsätzlich gültig
Die Standardvertragsklauseln, quasi eine Alternative zum Privacy Shield und ebenfalls von der DSGVO vorgesehen, wurden hingegen bestätigt. Diese können also grundsätzlich verwendet werden um zu zeigen, dass der Empfänger der Daten ein ausreichendes Schutzniveau gewährleistet. Allerdings hat der EuGH angemerkt, dass die für die Datenverarbeitung Verantwortlichen auch hier einen Blick auf die gesetzliche Lage im Drittland haben müssten. Können die Standardklauseln nicht eingehalten werden, muss die Datenverarbeitung ausgesetzt oder beendet werden.
Durch den Wegfall des Privacy Shields befinden sich die USA also praktisch in einer Lage wie andere Drittstaaten, für die keine besondere Vereinbarung getroffen wurde. Die Datenweitergabe in andere Drittstaaten als die USA ist von diesem Urteil nicht betroffen.
Urteil mit Folgen: Was können betroffene Online-Händler tun?
Online-Händler sind in nicht wenigen Fällen von diesem Urteil betroffen: In vielen Fällen bedienen sie sich Tools, die entsprechende Daten in die USA übertragen bzw. Daten dort auf Servern verarbeitet werden.
Dazu gehören können unter anderem:
- Hosting-Anbieter
- Cloud-Dienstleister
- Webanalyse- und Trackingdienste
- diverse Plugin-Tools
- Video-Anbieter
- Bestellabwicklungsdienste
Online-Händler stehen wie alle anderen Betroffenen nun vor der Frage, wie auf das Urteil reagiert werden sollte.
Praktisch gibt es hier zum jetzigen Zeitpunkt jedenfalls zwei Möglichkeiten:
- Wer absolut sichergehen und jedes grundsätzliche Risiko von Abmahnungen oder Bußgeldern vermeiden will, kann entsprechende Dienste, die auf das Privacy Shield setzen, abschalten, auf die Nutzung verzichten und alternative Dienste nutzen, die ihre Datenverarbeitung in der EU durchführen.
- Die eigene unternehmerische Entscheidung kann dahingehend getroffen werden, solche Dienste, die zum Datentransfer in die USA auf das Privacy Shield gesetzt haben, weiterzuverwenden. Achtung: Abmahnungen und Bußgelder sind dabei grundsätzlich möglich. Blickt man auf eine ähnliche, ältere Entscheidung des EuGH zum Safe Harbour-Abkommen, welches quasi den Vorgänger des Privacy Shields darstellte, kam es hier in der direkten Folgezeit allerdings zu keinen Reaktionen der Behörden, obwohl für knapp sechs Monate eine rechtliche Grundlage gefehlt hat. Auf dieser Grundlage lässt sich durchaus annehmen, dass es in diesem Fall ähnlich ist. Wie die deutschen und europäischen Daenschutzbehörden mit der Situation umgehen werden, bleibt derweil abzuwarten. Zudem ist davon auszugehen, dass die EU-Kommission zusammen mit den USA ein neues Abkommen ausarbeitet und damit die aktuelle Rechtsunsicherheit beseitigt.
Das Urteil des EuGH macht eine Anpassung der Datenschutzerklärung notwendig. Diese steht Mitgliedern des Händlerbundes bereits im Mitgliederbereich zur Verfügung. Hierüber werden Mitglieder zudem individuell per Sonder-Newsletter informiert. Weitere Fragen klären wir in unserem FAQ zum EuGH.Urteil über den Privacy Shield.
Wie können Händlerbund-Mitglieder ihre Datenschutzerklärung aktualisieren?
- Bitte loggen Sie sich mit ihren persönlichen Zugangsdaten (E-Mail und Passwort) im Mitgliederbereich ein.
- Wählen Sie „Shops“ unter „Meine Shops“ -> Shop-Übersicht aus.
- Über das Symbol „§“ unter „verfügbare Aktionen“ können Sie Ihre Datenschutzerklärung konfigurieren.
- Konfigurieren Sie die Einstellungen zur Datenschutzerklärung oder prüfen Sie, ob die zuvor getroffenen Einstellungen noch zutreffen. Speichern Sie die Angaben über „speichern & weiter“.
- Auf der nächsten Seite „Rechtstexte herunterladen“ können Sie die aktuelle Fassung Ihrer Datenschutzerklärung downloaden und in Ihre jeweilige Online-Präsenz einbinden.
Noch keine aktuelle Datenschutzerklärung? Jetzt Händlerbund-Mitglied werden und absichern!
Unsere Mitgliedschaftspakete
- Abmahnsichere Rechtstexte in 8 Sprachen schon ab 9,90 Euro*
- Sichere Cookie-Banner-Lösung
- Rechtsberatung inkl. Produktsicherheitsverordnung (ab Premium)
- Shop-Tiefenprüfung inkl. GPSR-Check für 5 Produkte (Unlimited und Professional)
- Soforthilfe bei Abmahnung** (Unlimited und Professional)