Categories: RechtRegulierung

EU-Kartellwächter: Datenübertragungen gemäß Privacy Shield ab sofort illegal

Der Europäische Datenschutzausschuss (EDPB) hat Ende vergangener Woche häufig gestellte Fragen zum Schrems-II-Urteil veröffentlicht, mit dem der Gerichtshof der Europäischen Union kürzlich das Datenschutzabkommen Privacy Shield gekippt hat. Die EU-Datenschützer machen vor allem darauf aufmerksam, dass das Urteil keinerlei Schonfristen enthält. Es ist stattdessen sofort umzusetzen: Ein Datenaustausch mit Drittländern außerhalb des Europäischen Wirtschaftsraums ist unter Privacy Shield ab sofort illegal.

Die Antwort auf die Frage, ob Privacy Shield zumindest vorübergehend noch als rechtliche Basis für Datenübertragungen genutzt werden kann, beantworten die Datenschützer von daher auch mit einem klaren: „Nein, der Gerichtshof hat die Entscheidung über den Schutz der Privatsphäre für ungültig erklärt, ohne ihre Wirkungen aufrechtzuerhalten, weil das vom Gerichtshof beurteilte US-Recht kein im Wesentlichen gleichwertiges Schutzniveau wie die EU bietet. Diese Beurteilung muss bei jeder Übertragung in die USA berücksichtigt werden.“

„Übertragungen auf Basis dieses rechtlichen Abkommens sind illegal“, heißt es dann auch in der Antwort zu einer weiteren Frage, mit der der EDPB auch direkt auf die mögliche Alternative „Standardvertragsklauseln“ verweist. Sie legen jedoch die Verantwortung für eine legale Übermittlung von Daten in die Hände des Unternehmens, das Daten in die USA oder ein anderes Land außerhalb des EU-Wirtschaftsraums übertragen will.

Unter anderem merken die Datenschützer an, dass das Gericht auch in Bezug auf die Standardvertragsklauseln festgestellt hat, dass das US-Recht kein gleichwertiges Schutzniveau bietet wie die EU. „Ob Sie personenbezogene Daten auf der Grundlage von Standardvertragsklauseln übermitteln können, hängt vom Ergebnis Ihrer Beurteilung ab, wobei die Umstände der Übermittlung und zusätzliche Maßnahmen, die Sie ergreifen könnten, zu berücksichtigen sind. Die ergänzenden Maßnahmen zusammen mit den Standardvertragsklauseln müssten nach einer Einzelfallanalyse der Umstände der Übermittlung sicherstellen, dass das US-Recht das angemessene Schutzniveau, das sie garantieren, nicht beeinträchtigt.“ Sei der Schutz nicht gewährleistet, müsse der Transfer personenbezogener Daten auf Basis der Standardvertragsklauseln ausgesetzt oder beendet werden.

Eine weitere Möglichkeit des Datentransfers bietet unter Umständen eine Ausnahmevorschrift des Artikels 49 der Datenschutzgrundverordnung. Demnach können Daten auch dann in die USA oder ein anderes Drittland übertragen werden, wenn eine explizite Zustimmung des Nutzers dafür vorliegt. Sie muss sich allerdings auf bestimmte Daten oder Übertragungen beziehen. Die Zustimmung muss vor dem Transfer eingeholt werden, auch wenn dieser erst nach der Datensammlung stattfindet. Die Zustimmung muss den Inhaber der Daten zudem gezielt über mögliche Risiken, die sich aus der Übertragung in ein spezielles Land ergeben könnten, informiert werden.

Der Datenschutzausschuss betonte abschließend, dass das Urteil nicht nur auf die USA, sondern auf alle Drittländer anzuwenden ist. Standardvertragsklauseln müssen also unter anderem jeweils dahingehend geprüft werden, dass die Gesetze im Empfängerland der Daten ein der EU entsprechendes Schutzniveau bieten.

Schon unmittelbar nach Bekanntwerden der Entscheidung hatte der Datenschutzaktivist Max Schrems, dessen Beschwerde gegen Facebook nicht nur das Privacy-Shield-Abkommen gekippt hat, sondern auch dessen Vorgänger, darauf hingewiesen, dass auch die Standardvertragsklauseln nicht für einen Datenaustausch mit den USA angewendet werden können. Die zuständigen Datenschutzbehörden forderte er auf, von sich aus gegen Unternehmen vorzugehen, „wenn US-Überwachungsgesetze gegen die Grundsätze des EU-Datenschutzrechts verstoßen, die Unternehmen aber nicht tätig geworden sind“.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

MadMxShell: Hacker verbreiten neue Backdoor per Malvertising

Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.

11 Stunden ago

April-Patches für Windows legen VPN-Verbindungen lahm

Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…

11 Stunden ago

AMD steigert Umsatz und Gewinn im ersten Quartal

Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.

20 Stunden ago

Google stopft schwerwiegende Sicherheitslöcher in Chrome 124

Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…

2 Tagen ago

Studie: 91 Prozent der Ransomware-Opfer zahlen Lösegeld

Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…

2 Tagen ago

DMA: EU stuft auch Apples iPadOS als Gatekeeper ein

Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…

2 Tagen ago