Schrems II
Mit Geltung der europäischen Datenschutzgrundverordnung (DSG-VO) seit Mai 2018 regelte das „Privacy Shield“-Abkommen die Rechtmäßigkeit der Verarbeitung personenbezogener Daten aus der EU in den vereinigten Staaten von Amerika. Für jede Verarbeitung von personenbezogenen Daten, die in der EU erhoben wurden, in einem Drittland sind nach der DSGVO besondere Schutzmechanismen nötig, um die Sicherheit der Datenverarbeitung zu gewährleisten und somit die Rechte und Freiheiten der von der betroffenen Datenverarbeitung betroffenen Personen zu garantieren.
Mit der Entscheidung „Schrems II“ hat der EuGH das EU-US-Privacy-Shield (im Folgenden: „Privacy Shield“) verworfen. Ursache hierfür war eine Klage des österreichischen Juristen Max Schrems. Der EuGH gab Schrems Klage statt und begründete sein Urteil damit, dass durch die US-amerikanischen Überwachungsgesetze und die fehlende Möglichkeit des Rechtsschutzes für EU-Bürger in den USA, ein Schutz personenbezogener Daten nicht ausreichend gewährleistet sei.
Das, bis zu der Entscheidung gültige, Privacy Shield hatte den Datentransfer in die USA rechtlich legitimiert und diente als Angemessenheitsbeschluss im Sinne des Art. 45 DSGVO. Eine Angemessenheitsbeschluss wird von der EU-Kommission gefasst und sagt im Wesentlichen aus, dass das Schutzniveau für personenbezogene Daten im Zielland so hoch ist, dass im Lichte der DSGVO ein angemessener Schutz personenbezogener Daten gewährleistet wird. Dies bedeutet, dass im Zielland ein ähnliches Datenschutzniveau herrscht wie in der EU.
Standardvertragsklauseln
Die von der EU-Kommission herausgegebenen Standardvertragsklauseln waren zunächst eine Möglichkeit den Drittlandsdatentransfer zu legitimieren. Doch auch dieser Transfermechanismus wurde im Nachgang zu „Schrems II“ vom Europäischen Gerichtshof in Frage gestellt. Nach aktueller Auffassung des EuGHs und des Europäischen Ausschusses für Datenschutz, sei der Abschluss von Standardvertragsklauseln nicht mehr ohne weiteres dazu geeignet, einen Datentransfer in ein Drittland zu legitimieren. Stattdessen habe der Verantwortliche nun zu prüfen, dass der Datenverarbeiter die Bestimmungen der Standardvertragsklauseln einhielte und diese mithin auch tatsächlich ein ausreichendes Schutzniveau hinsichtlich der Verarbeitung personenbezogener Daten schaffe.
Immer noch keine probable Lösung
Dies bedeutet, dass es aktuell keine probable Lösung für einen rechtskonformen Datentransfer in die USA gibt und deshalb Tools US-amerikanischer Unternehmen von Webseiten entfernt werden sollten. Dies betrifft zum Beispiel Google Analytics oder Facebook Pixel.
Der Jurist Schrems und seine Organisation Nyob haben bereits 101 Musterbeschwerden gegen Unternehmen eingereicht, die auf ihrer Webseite Google Analytics und Facebook Connect verwendeten. Die jüngste Verwarnung der europäischen Datenschutzbeauftragten an das Europa-Parlament wegen der Nutzung von Google Analytics und dem Zahlungsanbieter Stripe, gibt den Unternehmen schonmal eine Vorwarnung in welche Richtung die Urteile gehen könnten.