Categories: RechtRegulierung

EU-Kartellwächter: Datenübertragungen gemäß Privacy Shield ab sofort illegal

Der Europäische Datenschutzausschuss (EDPB) hat Ende vergangener Woche häufig gestellte Fragen zum Schrems-II-Urteil veröffentlicht, mit dem der Gerichtshof der Europäischen Union kürzlich das Datenschutzabkommen Privacy Shield gekippt hat. Die EU-Datenschützer machen vor allem darauf aufmerksam, dass das Urteil keinerlei Schonfristen enthält. Es ist stattdessen sofort umzusetzen: Ein Datenaustausch mit Drittländern außerhalb des Europäischen Wirtschaftsraums ist unter Privacy Shield ab sofort illegal.

Die Antwort auf die Frage, ob Privacy Shield zumindest vorübergehend noch als rechtliche Basis für Datenübertragungen genutzt werden kann, beantworten die Datenschützer von daher auch mit einem klaren: „Nein, der Gerichtshof hat die Entscheidung über den Schutz der Privatsphäre für ungültig erklärt, ohne ihre Wirkungen aufrechtzuerhalten, weil das vom Gerichtshof beurteilte US-Recht kein im Wesentlichen gleichwertiges Schutzniveau wie die EU bietet. Diese Beurteilung muss bei jeder Übertragung in die USA berücksichtigt werden.“

„Übertragungen auf Basis dieses rechtlichen Abkommens sind illegal“, heißt es dann auch in der Antwort zu einer weiteren Frage, mit der der EDPB auch direkt auf die mögliche Alternative „Standardvertragsklauseln“ verweist. Sie legen jedoch die Verantwortung für eine legale Übermittlung von Daten in die Hände des Unternehmens, das Daten in die USA oder ein anderes Land außerhalb des EU-Wirtschaftsraums übertragen will.

Unter anderem merken die Datenschützer an, dass das Gericht auch in Bezug auf die Standardvertragsklauseln festgestellt hat, dass das US-Recht kein gleichwertiges Schutzniveau bietet wie die EU. „Ob Sie personenbezogene Daten auf der Grundlage von Standardvertragsklauseln übermitteln können, hängt vom Ergebnis Ihrer Beurteilung ab, wobei die Umstände der Übermittlung und zusätzliche Maßnahmen, die Sie ergreifen könnten, zu berücksichtigen sind. Die ergänzenden Maßnahmen zusammen mit den Standardvertragsklauseln müssten nach einer Einzelfallanalyse der Umstände der Übermittlung sicherstellen, dass das US-Recht das angemessene Schutzniveau, das sie garantieren, nicht beeinträchtigt.“ Sei der Schutz nicht gewährleistet, müsse der Transfer personenbezogener Daten auf Basis der Standardvertragsklauseln ausgesetzt oder beendet werden.

Eine weitere Möglichkeit des Datentransfers bietet unter Umständen eine Ausnahmevorschrift des Artikels 49 der Datenschutzgrundverordnung. Demnach können Daten auch dann in die USA oder ein anderes Drittland übertragen werden, wenn eine explizite Zustimmung des Nutzers dafür vorliegt. Sie muss sich allerdings auf bestimmte Daten oder Übertragungen beziehen. Die Zustimmung muss vor dem Transfer eingeholt werden, auch wenn dieser erst nach der Datensammlung stattfindet. Die Zustimmung muss den Inhaber der Daten zudem gezielt über mögliche Risiken, die sich aus der Übertragung in ein spezielles Land ergeben könnten, informiert werden.

Der Datenschutzausschuss betonte abschließend, dass das Urteil nicht nur auf die USA, sondern auf alle Drittländer anzuwenden ist. Standardvertragsklauseln müssen also unter anderem jeweils dahingehend geprüft werden, dass die Gesetze im Empfängerland der Daten ein der EU entsprechendes Schutzniveau bieten.

Schon unmittelbar nach Bekanntwerden der Entscheidung hatte der Datenschutzaktivist Max Schrems, dessen Beschwerde gegen Facebook nicht nur das Privacy-Shield-Abkommen gekippt hat, sondern auch dessen Vorgänger, darauf hingewiesen, dass auch die Standardvertragsklauseln nicht für einen Datenaustausch mit den USA angewendet werden können. Die zuständigen Datenschutzbehörden forderte er auf, von sich aus gegen Unternehmen vorzugehen, „wenn US-Überwachungsgesetze gegen die Grundsätze des EU-Datenschutzrechts verstoßen, die Unternehmen aber nicht tätig geworden sind“.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

12 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago