Privacy-Shield-Urteil: Was der New Deal für den Datenschutz für Unternehmen bedeutet
Das Datenschutz-Urteil und das Ende von Privacy Shield betrifft nicht nur Facebook. (Foto: dpa)
Grundsätzlich bedeutet das Urteil des EuGH, dass weiterhin der Datentransfer zwischen Staaten möglich bleibt, aber nur wenn ein gleichwertiges Niveau im jeweiligen Datenschutz in den jeweiligen Ländern gegeben ist. Gerade das beanstandete der Europäische Gerichtshof. Gleichzeitig entschieden die Richter aber auch, dass die Übertragung von personenbezogenen Daten auf Grundlage der sogenannten EU-Standardvertragsklauseln weiterhin rechtmäßig erfolgen könne.
Das Privacy-Shield-Abkommen zwischen der Europäischen Union und den Vereinigten Staaten von Amerika regelt den Schutz personenbezogener Daten, die aus der europäischen Union in die USA übertragen werden. Unternehmen konnten sich – zumindest bis jetzt – diesem Abkommen unterwerfen und sich somit offiziell verpflichten, die durch das Abkommen vorgegebenen datenschutzrechtlichen Grundsätze einzuhalten.
Datenschutz: Unternehmen müssen jetzt umdenken
Das heutige Urteil ist ein heftiger Schlag gegen sämtliche Unternehmen, die hierzulande Daten erheben und diese zwischen den Ländern transferieren konnten – allen voran Facebook, aber eben auch für andere Unternehmen gültig, die nach vergleichbarem Muster vorgehen. Die betroffenen Unternehmen dürften jetzt alles daran setzen, die bestehenden Services in der gewohnten Form weiterlaufen zu lassen. Für Google und Facebook mit den riesigen juristischen Abteilungen dürfte es dabei leichter sein die neuen Regelungen umzusetzen als für mittelständische Digitalunternehmen. Alternativ können US-Unternehmen hier auch eigene Server aufbauen, bei denen sichergestellt ist, dass die Daten den europäischen Raum gar nicht erst verlassen.
Insbesondere ergibt sich hieraus auch für sämtliche Online-Marketing-Konzerne ein New Deal. Für die EU-Kommission auf der einen Seite, aber auch für die US-Regierung auf der anderen Seite wird das Urteil dazu führen, dass man sich neu über die gegenseitigen Datenschutzrichtlinien einigen muss – ein guter Tag für den Datenschutz nach deutscher Lesart, auch wenn sich hieraus eine enorme Rechtsunsicherheit für alle ergibt, die als Unternehmen Kunden im jeweils anderen Land betreuen.
Der österreichische Jurist und Datenschützer Max Schrems, der den Prozess angestrengt hatte (und auch bereits für das Kippen von Safe Harbor mit verantwortlich war) zeigte sich zufrieden, weil das Luxemburger Gericht Facebook Einhalt gebiete. In den USA könne man jetzt entweder mit diesen Einschränkungen leben oder müsse sich um eine Änderung der Überwachungsgesetze kümmern.
Datenübertragung in die USA „über Nacht“ rechtswidrig geworden
Datenschützer und Juristen hatten diesen Schritt allerdings durchaus erwartet. Denn sie sahen den Privacy-Shield, ähnlich wie dessen Vorgänger, das Safe-Harbour-Abkommen, schon lange auf der Kippe. Es war daher eigentlich nur eine Frage der Zeit gewesen, bis auch das Privacy-Shield-Abkommen den Spuren des Safe-Harbour-Abkommens folgen würde.
Rechtsanwalt Brian Scheuch sieht ebenfalls reichlich Änderungsbedarf für die Daten verarbeitenden Unternehmen: „Unternehmen, die sich bei der Übermittlung von personenbezogenen Daten in die USA einzig auf den Privacy-Shield berufen haben, sollten nun schnell handeln. Streng genommen sind die Datenübertragungen in die USA durch das Urteil des EuGH ‚über Nacht‘ rechtswidrig geworden.“ Die Unternehmen könnten prüfen, ob für sie der Abschluss von Standardvertragsklauseln in Frage komme.
Ebenso dürfte die Anpassung vieler Datenschutzerklärungen und -hinweise auf Websites erforderlich sein, da als Grundlage für die Übertragung von personenbezogenen Daten vielfach das Privacy-Shield-Abkommen genannt wird. Viel Arbeit kommt auch auf die Aufsichtsbehörden zu, da diese laut dem Urteil verpflichtet sind, die Übermittlung von personenbezogenen Daten in einen Drittstaat auszusetzen oder zu verbieten. „Bei rechtswidriger Übermittlung droht daher, wie bisher auch, Ärger mit den Aufsichtsbehörden, insbesondere durch die Verhängung von Bußgeldern“, führt Scheuch, Rechtsanwalt und Partner der Kanzlei Heidrich Rechtsanwälte, aus.
Bewertung als „volle Breitseite (nicht nur) gegen Facebook“
Als heftige Schlappe für Facebook beurteilt auch der Kölner Rechtsanwalt Christian Solmecke, spezialisiert unter anderem auf IT- und Internetrecht, das heutige Urteil: „Es ist eine volle Breitseite für Facebook und die irische Datenschutzbehörde (DPC).“ Weitreichende Folgen habe das Urteil auch für Unternehmen, die sich bei der Übermittlung personenbezogener Daten bisher auf den Beschluss der EU-Kommission zum EU-US-Privacy-Shield verlassen haben. „Dieser wurde nun gekippt. Diese Unternehmen sollten nun schnellstmöglich die EU-Standardvertragsklauseln in ihren Verträgen übernehmen und sie dann auch einhalten.“
Gleichzeitig sieht Solmecke aber auch weiteren Handlungsbedarf durch die Politik: „Vor einem harten Durchgreifen gegenüber Facebook hat sich die irische Datenschutzbehörde bisher gedrückt. Nun bleibt abzuwarten, wie sie auf die EuGH-Entscheidung reagiert.“
Das könnte dich auch interessieren:
- Nach Safe Harbor fällt Privacy-Shield: EuGH kippt EU-US-Datenschutzdeal
- EU-Datenschutzbehörde zur DSGVO: Cookie-Consent reicht nicht
- Onlinewerbung besser aussteuern – ohne Cookies, dafür mit KI
- Cookies – verstößt ein Zwang zum Speichern gegen die DSGVO?
Was heißt das jetzt für Youtuber, Influencer , Facebook Gruppen und Social Media Marketing? Ab sofort alles illegal oder aufgrund der privaten Einwilligung zur Nutzung des jeweiligen Dienstes doch noch legal?