Praktische Auswirkungen der Rechtsprechung des EuGH auf den internationalen Datentransfer
European Court of Justice (Europäischer Gerichtshof) | Wikipedia
Der Europäische Gerichtshof hat mit dem Urteil klargestellt, dass personenbezogene Daten von EU Bürgern nur an Drittländer übermittelt werden dürfen, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU.
Für die USA hat er ein solches angemessenes Schutzniveau verneint.
Wesentlicher Baustein ist dabei eine strukturierte Überprüfung der Rechtmäßigkeit des Datentransfers an Drittländer. Denn der Europäische Gerichtshof hat klargestellt, dass keine Übergangsfrist besteht. Das Ergebnis dieser Prüfung muss nachvollziehbar und überprüfbar dokumentiert werden, wie es Verantwortlichen etwa aus der Datenschutzfolgenabschätzung bekannt ist.
Die Allgemeine Datenschutz-Grundverordnung (DSGVO) der EU schreibt vor, dass ein Land über ein angemessenes Datenschutzniveau verfügen muss, bevor Daten aus der EU an dieses Land übermittelt werden können. Angemessenheitsentscheidungen (engl. Adequacy Decisions) der EU-Kommission entscheiden darüber, ob personenbezogene Daten legal in ein Land außerhalb der EU übermittelt werden können.
Die USA werden von der EU nicht als Land anerkannt, das über ein angemessenes Datenschutzniveau verfügt, aber mehrere Transfer-Mechanismen ermöglichen es kommerziellen Unternehmen und Organisationen in den USA, personenbezogene Daten aus der EU an die USA zu übermitteln, wo diese dann gespeichert werden.
EuGH zerstört EU-US Privacy Shield
Im Juli 2020 hat der Europäische Gerichtshof (EuGH) den Privacy Shield, der den ungehinderten Datenfluss zwischen der EU und den USA sicherte, abgeschafft.
Der EU-Gerichtshof (EuGH) fällte am Donnerstag, den 16. Juli 2020, ein Urteil in dem als Schrems II bekannten Fall (Rechtssache C-311/18 „Schrems II“), in dem die Mechanismen für die Übermittlung personenbezogener Daten zwischen der EU und den USA mit dem Argument angefochten wurden, dass das US-Recht den Schutz personenbezogener Daten aus der EU nicht angemessen gewährleisten kann.
In einer bahnbrechenden Entscheidung schlug der EuGH den “Privacy Shield” nieder, einer der meistgenutzten Mechanismen, der es US-Handelsunternehmen erlaubt, personenbezogene Daten aus der EU in die USA zu übertragen und dort zu speichern.
Die Entscheidung des EuGHs, den Privacy Shield für ungültig zu erklären, macht die USA zu einem nicht-adäquaten Land ohne gesonderten Zugang zu Europas personenbezogenen Datenströmen.
Datenübermittlungen an die USA, die bisher auf das EU-US Privacy Shield gestützt wurden, müssen nun durch eine Schutzmaßnahme nach Art. 46 DSGVO abgesichert werden, da der Europäische Gerichtshof diesen Angemessenheitsbeschluss der Europäischen Kommission mit sofortiger Wirkung für unwirksam erklärt hat.
Für Datenübermittlungen an die USA, wenn nötig ggf. auch für Datenübermittlungen an weitere Drittländer, ist mit zusätzlichen Maßnahmen sicherzustellen, dass die personenbezogenen Daten auch im jeweiligen Drittland stets angemessen geschützt sind.
Das EuGH-Urteil im Fall Schrems II vom 16. Juli 2020 hat sich zum großen Teil auf die Seite von Max Schrems geschlagen, indem es den Privacy Shield als Mechanismus für die Übermittlung personenbezogener Daten zwischen der EU und den USA für ungültig erklärte.
Unmittelbar nach dem EuGH-Urteil hat die von Max Schrems mitgegründete Datenschutzorganisation noyb „none of your business” gegen 101 Unternehmen Beschwerden wegen des Datentransfers in die USA unter dem jetzt unwirksam gewordenen Privacy Shield eingereicht.
Rundum-Absicherung
- HTTP-Sicherheits-Header
- Inhaltsicherheitsrichtlinie (CSP)
- XSS-Absicherung
Ihr Internet-Auftritt ist nur so sicher wie die schwächste Stelle.
Schlüsselfertige Absicherung:
Unsere Experten erledigen diese Aufgabe komplett für Sie.
Statt 289,- € jetzt zum Vorzugspreis von 149,- €