Kündigung des ‘‘Datenschutzschild“ -Abkommens über Datenübertragungen aus der Europäischen Union in die Vereinigten Staaten

I. Einführung  

Am 16. Juli 2020 gab in seiner Entscheidung, auch bekannt als „Schrems II“-Entscheidung, der Gerichtshof der Europäischen Union („Gerichtshof“) bekannt, dass er die Datenschutzschild-Entscheidung (“Privacy Shield”) Nr. 2016/1250 aufgehoben hat, die die Übermittlung von Daten aus der Europäischen Union in die Vereinigten Staaten ermöglichte.   

Wie in der Datenschutz-Grundverordnung („DSGVO“) der Europäischen Union festgelegt, können Datenübermittlungen in Drittländer nur erfolgen, wenn die Europäische Datenschutzkommission („Kommission“) akzeptiert, dass dieses Drittland durch seine nationalen Rechtsvorschriften oder internationalen Abkommen, denen es beigetreten ist, eine angemessene Datensicherheit („adequate protection“) bietet .  Wenn ein solcher angemessener Schutz nicht verfügbar ist, darf eine Datenübermittlung nur in den Fällen möglich sein, in denen die von der Kommission festgelegten Standarddatenschutzbestimmungen gewährleistet sind und den betroffenen Personen, die Inhaber personenbezogener Daten sind, bei der Übermittlung ihrer Daten ein Schutzniveau geboten wird, das dem innerhalb der EU garantierten gleichwertig ist.    

II. Was ist „Datenschutzschild“ (“Privacy Shield”)? Warum wurde es gekündigt?  

1.Schrems I-Entscheidung — Kündigung des Abkommens über sichere Länder (“Safe Harbor Agreement”)  
Am 25. Juni 2013 beantragte der österreichische Staatsbürger Maximilian Schrems, ein Facebook-Nutzer, zur Übermittlung seiner persönlichen Daten bei Facebook über Irland in die USA, wie es bei vielen anderen EU-Bürgern der Fall ist, die Aussetzung der Datenübermittlung mit der Begründung, dass die Amerikanische Nationale Sicherheitsbehörde („US National Security Agency – NSA“) Zugriff auf diese Daten habe. Er legte Berufung bei der Aufsichtsbehörde in Irland ein, seine Beschwerde wurde jedoch mit der Begründung abgewiesen, dass die Vereinigten Staaten zu den sicheren Ländern („Safe Harbors“) mit angemessenem Schutz im Rahmen des Abkommens über sichere Länder zählten.   

2015 erklärte der Gerichtshof jedoch das Abkommen über sichere Länder für nichtig und hob damit die Ablehnung des Obersten Gerichtshofs Irlands auf („Shrems I-Entscheidung“)  

2. Datenschutzschild-Abkommen 
Unmittelbar nach dieser Entscheidung richtete die Kommission der Europäischen Union (EC) einen „Datenschutzschild“ -Mechanismus für die Datenübertragung zwischen den Vereinigten Staaten und der Europäischen Union ein, und alle Mitgliedsländer akzeptierten das „Datenschutzschild-Abkommen“, das seit dem 12. Juli 2016 in Kraft ist.  

Der Austrittspunkt des „Datenschutzschild“ -Abkommens ist zunächst  

• den Menschen mehr Kontrolle darüber geben, wie ihre Informationen verarbeitet werden;  

• Einzelpersonen neue Sicherheitsmaßnahmen bieten, einschließlich des Rechts, sich an amerikanische Gerichte zu wenden, wenn sie glauben, dass ein Unternehmen oder die US-Regierung ihre Daten missbraucht 

• Es enthält zwar eine Garantie dafür, dass die amerikanische Regierung keine Daten ohne ausreichenden Grund sammeln kann, aber die Zeit wird zeigen, wie die neue Umsetzung im Rahmen der DSGVO mit der Nichtigkeitsentscheidung des Gerichtshofs aussehen wird.

3. Schrems II-Entscheidung: Kündigung des Datenschutzschild-Abkommens   

Ungefähr zwei Jahre nach seinem offiziellen Inkrafttreten, diesmal durch die Schrems II-Entscheidung vom 16. Juli 2020, beabsichtigt der Gerichtshof, in den Anwendungsbereich des oben genannten Austrittspunkts des Datenschutzschild-Abkommens zu fallen, obwohl dies in der Praxis nicht erreicht werden kann; 

• Praktiken, die sich aus dem innerstaatlichen Recht der Vereinigten Staaten ergeben und die es Behörden ermöglichen, auf personenbezogene Daten zuzugreifen und diese zu verwenden, sind nicht verhältnismäßig und  

• Sie kündigte an, dass das entsprechende Datenschutzschild-Abkommen aufgehoben wurde, da es nicht den hohen Datenschutzstandards der EU entsprach, die „die Übertragung nur der absolut notwendigen Daten“ ermöglichen.  

 In Fortsetzung der genannten Entscheidung;  

• Es wird darauf hingewiesen, dass die DSGVO Anwendung findet, wenn Daten zu kommerziellen Zwecken von einem in einem EU-Mitgliedstaat ansässigen Unternehmen an ein anderes in einem Drittland ansässiges Unternehmen übermittelt werden,   

• Es wird darauf hingewiesen, dass sich hieran auch dann nichts ändert, wenn während oder nach dieser Übermittlung ein Zugriff auf diese Daten durch Behörden des betreffenden Drittstaats aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der Staatssicherheit erfolgt;  

• Es wird auch darauf hingewiesen, dass eine solche Datenverarbeitung durch die Behörden eines Drittlands die Übertragung solcher Daten nicht vom Geltungsbereich der DSGVO ausschließt.  

Zusammenfassend müssen bei dieser Art der Datenübertragung die hohen Datenschutzstandards der DSGVO gewährleistet werden.    

III. Auswirkungen der Scherms-II-Entscheidung  

Mit der Aufhebung der Entscheidung stellt sich die Frage, wie mit den Prozessen von Unternehmen mit Sitz in der EU verfahren werden soll, die weiterhin alle Arten von Daten wie E-Mails, Social-Media-Beiträge, Finanzunterlagen, Geschäftsakten, Personalmaterial über Mitarbeiter, Marketingdatenbanken und Kundendaten usw. in die USA übertragen möchten. 

In der Entscheidung heißt es, dass Datenübertragungen in die Vereinigten Staaten wie in anderen Drittländern mit Standardvertragsklauseln (“standart contractual clauses”) erfolgen können, wobei beide Parteien den Datenschutz gemäß den DSGVO-Standards einhalten müssen. Wir können feststellen, dass diese Standardvertragsbestimmungen fast identisch mit den Bestimmungen der Verpflichtungen sind, die für die Übertragung von Daten aus der Türkei ins Ausland verwendet werden. Vor diesem Hintergrund wird dieses Schutzniveau sowohl unter Berücksichtigung der Sicherheitsmaßnahmen bei der Übertragung von Daten zwischen dem in der EU ansässigen Datenübermittler und dem im Drittland ansässigen Empfänger der Daten als auch der internen gesetzlichen Vorschriften über den Zugriff der Behörden des Drittlandes auf die übermittelten Daten bewertet. 

Eine weitere Methode, die den Datentransfer ermöglicht, ist die Anwendung der Methode der verbindlichen Unternehmensregeln, die eine Datenübertragung innerhalb von Konzernunternehmen ermöglicht, ohne Verpflichtungen einzugehen. Multinationale Konzernunternehmen, die sowohl in den USA als auch in der EU tätig sind, können auf diese Weise die Übertragung personenbezogener Daten innerhalb der Konzernunternehmen sicherstellen. 

In Anbetracht der Tatsache, dass die Entscheidung Scherms II auch Anträge in der Türkei betreffen wird, die die DSGVO-Anwendungen genau verfolgen, und dass die Liste der sicheren Länder noch nicht veröffentlicht wurde, gehen wir davon aus, dass die Durchführung weiterhin gemäß Verpflichtungen, die im Rahmen der vom Ausschuss für den Schutz personenbezogener Daten („Ausschuss“) festgelegten Standardvertragsbestimmungen für Datenübertragungen aus der Türkei ins Ausland für eine Weile unterzeichnet werden müssen und den verbindlichen Unternehmensregeln erfolgen wird, die kürzlich nach türkischem Recht in Kraft getreten sind, und mit der Genehmigung und Zustimmung des Vorstands.  

Wir bieten Ihnen Informationen und Einschätzungen. Die Pressemitteilung des Gerichtshofs zu der entsprechenden Entscheidung finden Sie hier.  
Bei Fragen zum Thema können Sie uns unter info@gungorlaw.com und telefonisch unter 0216 687 03 22 kontaktieren.