Problem „Privacy Shield ungültig“ – Datenübermittlung in die USA

Ende Privacy Shield

Nahezu jedes Unternehmen übermittelt Daten in die USA. Seit Kurzem hört man viel vom „Ende des Privacy Shield“. Auf den ersten Blick scheint das ein Thema nur für Spezialisten. Es hat aber Auswirkungen auf den Alltag im Unternehmen.


Übermittlungen in die USA nur bei angemessenem Datenschutzniveau

Die USA sind kein Teil der Europäischen Union, sie sind vielmehr ein „Drittstaat“. Die Übermittlung von personenbezogenen Daten in die USA ist deshalb an besondere Voraussetzungen gebunden. Sie ist nur zulässig, soweit in den USA ein „angemessenes Datenschutzniveau“ herrscht.

Der Privacy Shield – bisher praktisch und bequem

An dieser Stelle kommt der „Privacy Shield“ ins Spiel. Es handelte sich dabei um eine Art Register. Jedes US-Unternehmen, das bestimmte Voraussetzungen des Datenschutzes erfüllte, konnte sich dort eintragen lassen. Die Europäische Kommission hatte förmlich festgelegt: Wenn ein US-Unternehmen registriert ist, herrscht in diesem Unternehmen ein angemessenes Datenschutzniveau. Über 5.500 US-Unternehmen haben diese Möglichkeit genutzt. Dazu gehören auch Internet-Giganten wie Google.
Der Vorgänger des Privacy-Shield war das Safe-Habour Abkommen, dass bereits gekippt wurde.

Europäische Unternehmen als Nutznießer

Nutznießer dieses Verfahrens waren vor allem die europäischen Geschäftspartner der registrierten US-Unternehmen. Diese Geschäftspartner konnten an ihre US-Partner personenbezogene Daten genauso leicht übermitteln wie an Geschäftspartner innerhalb der Europäischen Union. Das war praktisch und bequem.

Der Privacy Shield EuGH Urteil– aus und vorbei!

Mitte Juli 2020 stoppte der Europäische Gerichtshof (EuGH) diese Verfahrensweise. Er stellte fest, dass der „Privacy Shield“ gerade nicht für ein angemessenes Datenschutzniveau bei den registrierten US-Unternehmen sorgt. Die Folge: Vielen Datenübermittlungen in die USA fehlt jetzt eine tragfähige rechtliche Grundlage.

Schwierige Situation für alle Unternehmen

Das Urteil wirkte wie ein Keulenschlag. Es räumt keinerlei Übergangsfrist ein. Die Rechtsgrundlage „Privacy Shield“ fiel über Nacht weg. Das führt im Augenblick zu folgender Situation:

  • In manchen Fällen gibt es noch eine weitere Rechtsgrundlage für die bisher üblichen Datenübermittlungen in die USA. Das ist etwa der Fall, wenn eine Datenübermittlung erforderlich ist, um einen Vertrag mit einem Kunden ordnungsgemäß zu erfüllen. Dann ist die Übermittlung schon unmittelbar nach der Datenschutz-Grundverordnung zulässig. In diesem Fall kann alles einfach so weiterlaufen wie bisher. Dies betrifft aber nur direkten Verträge. Es trifft also nicht zu, wenn die Datenübermittlung indirekt stattfindet.
  • Ziemlich oft ist es jedoch so, dass der Privacy Shield die einzige rechtliche Basis für die Datenübermittlung in die USA war. Dann muss bildlich gesprochen schnell eine neue Rechtsgrundlage her. Das ist eine große rechtliche Herausforderung.

Enorme Bedeutung für Geschäfte mit den USA

Dies ist der Hintergrund dafür, warum die Datenübermittlungen in die USA in der nächsten Zeit vielleicht auch für Sie ein Thema sein werden. Das kommt im Augenblick sicher ungelegen. Schließlich machen die Corona-Folgen schon genügend Mühe. Das Thema ist aber wichtig, damit unentbehrliche Datenübermittlungen in die USA auch künftig rechtskonform ablaufen können.

Wenn Sie mehr über das Thema wissen wollen

Das Thema ist zu komplex um es in einem Blog Beitrag zu beschreiben und Ihnen die nötige Rechtssicherheit zu geben. Wenn Sie zu dem Thema weitere Informationen benötigen, sprechen Sie uns an und fordern Sie unser umfangreiches Dokument „Prüfung der Datenübermittlung in Drittstaaten“.