Privacy Shield gekippt – das sagen die Aufsichtsbehörden dazu

Das aktuelle EuGH-Urteil zum EU-US-Privacy Shield sorgt für Handlungsbedarf auf allen Ebenen. Wie genau sieht dieser aber nun aus?

Auf unserer Themen-Seite Privacy Shield haben wir bereits Praxis-Tipps für Unternehmen zusammengestellt. Ergänzend sammeln wir hier gebündelt die aktuellen

Veröffentlichungen zum EuGH-Urteil Privacy Shield aus den Datenschutzbehörden:

DSK – Konferenz der unabhängigen Datenschutzaufsichtsbehördendes Bundes und der Länder:

28.07.2020 Pressemitteilung: https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf Auszug:

„…Für die Übermittlung personenbezogener Daten in die USA und andere Drittländerhat hat das Urteil nach einer ersten Einschätzung der DSK folgende Auswirkungen:

    1. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden….
    2. …Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.
    3. …müssen auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen….
    4. …Artikels 49 DSGVO…Zur Anwendung und Auslegung dieser Vorschrift hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht.[https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_de.pdf]
    5. Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können.Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

…Aufsichtsbehörden eine Schlüsselrolle bei der Durchsetzung der DSGVO und weiteren Entscheidungen über Datenübermittlungen in Drittländer zugewiesen. Die deutschen Aufsichtsbehörden werden sich in ihrem Vorgehen mit ihren Kolleginnen und Kollegen im Europäischen Datenschutzausschuss abstimmen und zukünftig auch zu spezifischeren Fragestellungen beraten…“

Europäischer Datenschutzausschuss:

24.07.2020: https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf Auszug (übersetzt mit deepl.com):

„…Die ergänzenden Maßnahmen zusammen mit den SCCs müssten nach einer Einzelfallanalyse der Umstände der Übermittlung sicherstellen, dass das US-Recht das angemessene Schutzniveau, das sie garantieren, nicht beeinträchtigt.

Wenn Sie zu dem Schluss kommen, dass unter Berücksichtigung der Umstände der Übermittlung und möglicher ergänzender Maßnahmen keine angemessenen Schutzvorkehrungen gewährleistet wären, sind Sie verpflichtet, die Übermittlung von Personendaten auszusetzen oder zu beenden. Beabsichtigen Sie jedoch, die Übermittlung von Daten trotz dieser Schlussfolgerung fortzusetzen, müssen Sie Ihre zuständige Aufsichtsbehörde benachrichtigen…

…Das EDPB prüft derzeit weiter, worin diese zusätzlichen Maßnahmen bestehen könnten, und wird weitere Hinweise geben…

Wenn kein geeigneter Grund für eine Übermittlung in ein Drittland gefunden werden kann, sollten personenbezogene Daten nicht außerhalb des EWR-Gebiets übermittelt werden, und alle Verarbeitungsaktivitäten sollten im EWR stattfinden.“

17.07.2020: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_de Auszug (übersetzt mit deepl.com):

„…In Bezug auf den Schutz der Privatsphäre weist der EDPB darauf hin, dass die EU und die USA einen vollständigen und wirksamen Rahmen schaffen sollten, der gewährleistet, dass das in den USA gewährte Schutzniveau für personenbezogene Daten im Einklang mit dem Urteil im Wesentlichen dem in der EU garantierten Schutzniveau entspricht…

…Der EDPB nimmt die Pflichten der zuständigen Aufsichtsbehörden (ZB) zur Kenntnis, eine Datenübermittlung in ein Drittland im Rahmen der SKG auszusetzen oder zu untersagen, wenn nach Ansicht der zuständigen ZB und unter Berücksichtigung aller Umstände dieser Übermittlung diese Klauseln in diesem Drittland nicht eingehalten werden oder nicht eingehalten werden können und der Schutz der übermittelten Daten nicht durch andere Mittel gewährleistet werden kann, insbesondere wenn der für die Verarbeitung Verantwortliche oder ein Auftragsverarbeiter die Übermittlung nicht bereits selbst ausgesetzt oder beendet hat…

Das EDPB wird das Urteil eingehender bewerten und weitere Erläuterungen für die Beteiligten sowie Leitlinien für den Einsatz von Instrumenten für die Übermittlung personenbezogener Daten an Drittländer gemäß dem Urteil bereitstellen.“

Bund: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/17_Schrems-II-Urteil.html

Berlin: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2020/20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit.pdf Auszug:

„…Der EuGH betont ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet sind, nach diesen Maßstäben unzulässige Datenexporte zu verbieten (Rn. 135, 146 des Urteils), und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen können (Rn. 143 des Urteils). Dieser dürfte insbesondere den immateriellen Schaden („Schmerzensgeld“) umfassen und muss nach dem europäischen Recht eine abschreckende Höhe aufweisen.

Die BerlinerBeauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.

Maja Smoltczyk: „Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.

Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an. Das betrifft natürlich nicht nur Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt hat. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme bestehen.“

Bayern hat die Pressemitteilung der DSK veröffentlicht s.o.

Baden Württemberg: – (bisher nur FAZ-Interview https://zeitung.faz.net/faz/politik/2020-07-20/22ea53d809ccc61cfe25da3e213e61e6/?GEPC=s3) Auszug:

„…Da das Thema alle europäischen Datenschutzbehörden berührt, wird darüber momentan im Europäischen Datenschutzausschuss beraten, um ein gemeinsames Vorgehen abzustimmen – mir ist allerdings noch schleierhaft, wie eine verträgliche Lösung hier aussehen soll. Nach dem „Safe Harbor“-Urteil 2015 haben die deutschen Datenschutzbehörden erst einmal ein sechs Monate langes Moratorium auf Ordnungsmaßnahmen verhängt. Wir wollten den deutschen Unternehmen damit Zeit geben, um gemeinsam mit uns Lösungen zu erarbeiten, wie der Datenaustausch mit den Vereinigten Staaten unter Beachtung des Urteils weitergehen kann. Ob wir das diesmal genauso werden machen können, ist aber ungewiss: Vom EuGH wurde es schon damals als unerhörte Auflehnung und Missachtung des Gerichts empfunden. Der deutsche EuGH-Richter Thomas von Danwitz hat mir sinngemäß erklärt, uns müsse das Urteil ja nicht gefallen, wir müssten es nur umsetzen: sofort, konsequent, und ohne Rücksicht auf die Kollateralschäden. Man darf sich da keine Illusionen machen: Der EuGH meint das mit dem Datenschutz wirklich ernst, inklusive aller Konsequenzen.“

Brandenburg hat die Pressemitteilung der DSK veröffentlicht s.o.

Bremen hat die Pressemitteilung der DSK veröffentlicht s.o.

Hamburg: https://datenschutz-hamburg.de/pressemitteilungen/2020/07/2020-07-16-eugh-schrems# Auszug:

„Die Auswirkungen dieses Urteils betreffen den internationalen Datentransfer insgesamt. Eine Datenübermittlung in Staaten ohne angemessenes Datenschutzniveau wird es daher künftig nicht mehr geben dürfen. Hier sind die Aufsichtsbehörden in besonderer Weise gefordert, eine gemeinsame Strategie zu entwickeln und umzusetzen.“

Hessen hat die Pressemitteilung der DSK veröffentlicht s.o.

Mecklenburg-Vorpommern: https://www.datenschutz-mv.de/datenschutz/publikationen/EuGH_suspendiert_Privacy_Shield/

Niedersachsen hat die Pressemitteilung der DSK veröffentlicht s.o.

Nordrhein-Westfahlen: https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Schrems-II/Schrems-II.html Auszug:

„…„Was machen die Datenschutzaufsichtsbehörden? Die deutschen und die europäischen Aufsichtsbehörden arbeiten zusammen, um das Urteil des EuGH einheitlich zu verstehen und umzusetzen. Sie arbeiten auch an Empfehlungen für die Rechtsanwender. Der Europäischen Datenschutzausschuss bietet der EU-Kommission Unterstützung an, wenn es darum geht, einen neuen Rahmen für Datenübermittlungen in die USA zu erstellen. Der Europäische Datenschutzausschuss prüft zudem, welche Zusatzmaßnahmen getroffen werden könnten für den Fall, dass Standarddatenschutzklauseln für ein bestimmtes Ziel-Land noch keine ausreichenden Garantien bieten. Insgesamt wird der Europäischen Datenschutzausschuss an Leitlinien für Rechtsanwender arbeiten, die das Urteil berücksichtigen. Die deutschen Aufsichtsbehörden arbeiten an den Entscheidungen des Europäischen Datenschutzausschusses mit und koordinieren sich in Deutschland. Mit Beschwerden von betroffenen Personen werden sich die Aufsichtsbehörden befassen und sie angemessen untersuchen. Leitlinien und allgemeine Beratung veröffentlichen wir sobald wie möglich auf unseren Internetseiten.“

Rheinland-Pfalz: 

Auszug 24.07.2020 https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/konsequenzen-des-lfdi-rheinland-pfalz-aus-dem-eugh-urteil-c-31118-schrems-ii/:

„…Der LfDI Rheinland-Pfalz wird im Rahmen von Beschwerden oder ansonsten mittelfristig auf Unternehmen zukommen, um entsprechende Darlegungen zu erhalten…

…Falls der LfDI Rheinland-Pfalz auf rechtswidrige Datenübermittlungen in Drittstaaten stößt, stehen ihm sämtliche von der Datenschutz-Grundverordnung vorgesehenen Abhilfemaßnahmen zur Verfügung. Konkret kommen insbesondere entsprechende Anordnungen in Frage, mit denen ein rechtswidriger Zustand abgestellt wird. Im Fall von anhaltenden und nachhaltigen Verstößen stehen auch Geldbußen im Raum.

Die deutschen und europäischen Datenschutzaufsichtsbehörden arbeiten an Empfehlungen, wie Datenübermittlungen in Drittstaaten rechtssicher gestaltet werden können. Hier geht es etwa um zusätzliche Vorkehrungen, die mit Standardvertragsklauseln zusammen die internationalen Datenübermittlungen weiterhin tragen. Angesichts der dynamischen Entwicklung der Materie wird der LfDI Rheinland-Pfalz in Kooperation mit den anderen Datenschutzaufsichtsbehörden die Sachlage beobachten und so früh wie möglich Hilfestellungen und Empfehlungen geben, um Unternehmen die Aufrechterhaltung von Datenübermittlungen in Drittstaaten zu ermöglichen.“

Auszug 16.07.2020 https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/paukenschlag-eugh-schreddert-den-privacy-shield-datenuebermittlung-in-staaten-jenseits-der-eu-aber/:

„…Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Prof. Kugelmann hebt hervor: „Der Grundrechtsschutz endet nicht an der Grenze der EU und verlangt auch die Prüfung, ob und wie etwa US-amerikanische Sicherheitsbehörden Zugriff auf die Daten haben. Der EuGH stärkt einmal mehr die Rechte des Einzelnen. Für die betroffenen Unternehmen bedeutet das ein hartes Stück Arbeit, um im Einklang mit dem Datenschutz ihre Geschäfte betreiben zu können….

…„Der EuGH hat klargestellt, dass sich Unternehmen mit der Verwendung der Standardvertragsklauseln nicht von ihren Prüfpflichten freikaufen können,“ erklärt Professor Kugelmann. „Der Ball liegt nun im Feld der Verantwortlichen. Sie kommen nicht umhin, sich mit den nationalen Gesetzen des Drittlandes, in welche sie Daten übermitteln möchten, intensiv auseinanderzusetzen. Unterliegen die Datenempfänger gesetzlichen Regeln ihres Heimatlandes, die gegen das europäische Datenschutzrecht verstoßen, können sie die vertraglichen Regelungen der Standardvertragsklauseln ggf. nicht einhalten. In diesem Fall muss der Verantwortliche in der EU die Datenübermittlung dorthin aussetzen, da er sonst einen Datenschutzverstoß begeht.“ Dies gilt im Übrigen für Datentransfers in alle Drittländer, nicht nur in die USA.

Notwendig ist eine EU-weite Abstimmung der Aufsichtsbehörden, um eine einheitliche Rechtsanwendung zu erreichen und die Unternehmen in der EU gleich zu behandeln. Der LfDI erwartet aufgrund der Bedeutung entsprechender Datenübermittlungen für viele Unternehmen einen Ansturm von Fragen von Verantwortlichen und betroffenen Personen und bittet diese schon jetzt um Verständnis, wenn die Bearbeitung etwas Zeit in Anspruch nehmen wird. Hilfestellung bieten die FAQs des LfDI zu dem Urteil (Link).“

Saarland hat die Pressemitteilung der DSK veröffentlicht s.o.

Sachsen hat die Pressemitteilung der DSK veröffentlicht s.o.

Sachsen-Anhalt hat die Pressemitteilung der DSK veröffentlicht s.o.

Schleswig-Holstein : –

Thüringen: https://www.tlfdi.de/mam/tlfdi/presse/200716_pressemitteilung.pdf Auszug:

„…Thüringens Datenschutzbeauftragter Dr. Lutz Hasse begrüßt zum einen die ausdrückliche Feststellung im EuGH-Urteil, dass der Einsatzvon US-Programmen zur Überwachung des Datenverkehrs nicht auf das zwingend erforderliche Maß beschränkt sei. „Daraus leitet der EuGH zutreffend die fehlende Verhältnismäßigkeitab, die mit dem Datenschutzrecht der EU nicht vereinbar ist“, so der Thüringer Datenschutzbeauftragte….

Fraglich bleibt für Dr. Hasse aber, wie die weiterhin anwendbaren Standardvertragsklauseln der EU künftig mit „Leben erfüllt“ werden sollen. Diese Klauseln sollen die Garantien dafür bieten, dass es bei der Daten-Übermittlung aus der EU ins Ausland angemessenen Schutz für die personenbezogenen Daten von EU-Bürgern gibt. „Wenn der EuGH nun hervorhebt, dass die Schutzmechanismen der Standardvertragsklauseln und ihre Einhaltung vom Datenexporteur und dem Datenempfänger vor der Übermittlung geprüft werden müssen, dann weiß ich nicht, wie im Fall der Datenübermittlung in die USA hier ein EU-datenschutzkonformes Prüfergebnis zu Stande kommen soll. Bei der Beantwortung dieser Frage sind nach dem Urteil des EuGHsnun auch die europäischen Datenschutzaufsichtsbehörden verstärktin der Pflicht“, so der Thüringer Datenschutzbeauftragte.“