Categories: RechtRegulierung

EU-Kartellwächter: Datenübertragungen gemäß Privacy Shield ab sofort illegal

Der Europäische Datenschutzausschuss (EDPB) hat Ende vergangener Woche häufig gestellte Fragen zum Schrems-II-Urteil veröffentlicht, mit dem der Gerichtshof der Europäischen Union kürzlich das Datenschutzabkommen Privacy Shield gekippt hat. Die EU-Datenschützer machen vor allem darauf aufmerksam, dass das Urteil keinerlei Schonfristen enthält. Es ist stattdessen sofort umzusetzen: Ein Datenaustausch mit Drittländern außerhalb des Europäischen Wirtschaftsraums ist unter Privacy Shield ab sofort illegal.

Die Antwort auf die Frage, ob Privacy Shield zumindest vorübergehend noch als rechtliche Basis für Datenübertragungen genutzt werden kann, beantworten die Datenschützer von daher auch mit einem klaren: „Nein, der Gerichtshof hat die Entscheidung über den Schutz der Privatsphäre für ungültig erklärt, ohne ihre Wirkungen aufrechtzuerhalten, weil das vom Gerichtshof beurteilte US-Recht kein im Wesentlichen gleichwertiges Schutzniveau wie die EU bietet. Diese Beurteilung muss bei jeder Übertragung in die USA berücksichtigt werden.“

„Übertragungen auf Basis dieses rechtlichen Abkommens sind illegal“, heißt es dann auch in der Antwort zu einer weiteren Frage, mit der der EDPB auch direkt auf die mögliche Alternative „Standardvertragsklauseln“ verweist. Sie legen jedoch die Verantwortung für eine legale Übermittlung von Daten in die Hände des Unternehmens, das Daten in die USA oder ein anderes Land außerhalb des EU-Wirtschaftsraums übertragen will.

Unter anderem merken die Datenschützer an, dass das Gericht auch in Bezug auf die Standardvertragsklauseln festgestellt hat, dass das US-Recht kein gleichwertiges Schutzniveau bietet wie die EU. „Ob Sie personenbezogene Daten auf der Grundlage von Standardvertragsklauseln übermitteln können, hängt vom Ergebnis Ihrer Beurteilung ab, wobei die Umstände der Übermittlung und zusätzliche Maßnahmen, die Sie ergreifen könnten, zu berücksichtigen sind. Die ergänzenden Maßnahmen zusammen mit den Standardvertragsklauseln müssten nach einer Einzelfallanalyse der Umstände der Übermittlung sicherstellen, dass das US-Recht das angemessene Schutzniveau, das sie garantieren, nicht beeinträchtigt.“ Sei der Schutz nicht gewährleistet, müsse der Transfer personenbezogener Daten auf Basis der Standardvertragsklauseln ausgesetzt oder beendet werden.

Eine weitere Möglichkeit des Datentransfers bietet unter Umständen eine Ausnahmevorschrift des Artikels 49 der Datenschutzgrundverordnung. Demnach können Daten auch dann in die USA oder ein anderes Drittland übertragen werden, wenn eine explizite Zustimmung des Nutzers dafür vorliegt. Sie muss sich allerdings auf bestimmte Daten oder Übertragungen beziehen. Die Zustimmung muss vor dem Transfer eingeholt werden, auch wenn dieser erst nach der Datensammlung stattfindet. Die Zustimmung muss den Inhaber der Daten zudem gezielt über mögliche Risiken, die sich aus der Übertragung in ein spezielles Land ergeben könnten, informiert werden.

Der Datenschutzausschuss betonte abschließend, dass das Urteil nicht nur auf die USA, sondern auf alle Drittländer anzuwenden ist. Standardvertragsklauseln müssen also unter anderem jeweils dahingehend geprüft werden, dass die Gesetze im Empfängerland der Daten ein der EU entsprechendes Schutzniveau bieten.

Schon unmittelbar nach Bekanntwerden der Entscheidung hatte der Datenschutzaktivist Max Schrems, dessen Beschwerde gegen Facebook nicht nur das Privacy-Shield-Abkommen gekippt hat, sondern auch dessen Vorgänger, darauf hingewiesen, dass auch die Standardvertragsklauseln nicht für einen Datenaustausch mit den USA angewendet werden können. Die zuständigen Datenschutzbehörden forderte er auf, von sich aus gegen Unternehmen vorzugehen, „wenn US-Überwachungsgesetze gegen die Grundsätze des EU-Datenschutzrechts verstoßen, die Unternehmen aber nicht tätig geworden sind“.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

71 Opfer seit September: Forscher warnen vor Ransomware Egregor

Die Hintermänner sind bisher in 19 Ländern aktiv. Die Mehrheit der Opfer befindet sich jedoch…

22 Minuten ago

Threat Hunting – Informieren und abwehren

Threat Detection and Response (TDR) stärkt die Abwehrkräfte von Unternehmen. Dabei geht es darum, Angriffe…

15 Stunden ago

HP und Dell übertreffen die Erwartungen um dritten Quartal

Allerdings erzielt nur Dell ein Umsatzwachstum. Beide Unternehmen profitieren jedoch von einer hohen Nachfrage nach…

16 Stunden ago

Xiaomi meldet Gewinnanstieg von 19 Prozent

Der Umsatz klettert um 34,5 Prozent auf umgerechnet 9,24 Milliarden Euro. Die Smartphonesparte verbessert ihr…

18 Stunden ago

Nach US-Wahl: Facebook optimiert News Feed für „zuverlässige“ Nachrichten

CEO Mark Zuckerberg segnet eine Änderung des Algorithmus für den News Feed ab. Sie erhöht…

20 Stunden ago

Hacker setzen durchgesickerte Passwörter gegen Spotify-Konten ein

Eine Datenbank mit 380 Millionen Einträgen enthält auch gültige Anmeldedaten für den Streamingdienst. Spotify setzt…

22 Stunden ago