Privacy Shield ist unwirksam – Was jetzt zu tun ist!

Das Privacy Shield ist tot – Was ist die Alternative?

Der Rauch hat sich so langsam verzogen. Aber der Frust bleibt: Das Privacy Shield Abkommen zwischen der EU und den USA wurde also vom Europäischen Gerichtshof (EuGH) für unwirksam erklärt. Das ist erst einmal Fakt. Gleichzeitig hat der EuGH „grundsätzlich“ die Wirksamkeit der so genannten EU-Standardvertragsklauseln bestätigt. Diese könnten (!) eine wirksame Rechtsgrundlage bilden.

Wenn man die Ratschläge im Moment so liest, dann stürzen sich also jetzt alle auf diese Standardvertragsklauseln. Gestern teilt mir zum Beispiel Google per E-Mail mit, ab sofort auf Basis der EU-Standardvertragsklauseln die Datentransfers in die USA vorzunehmen.

Schön und gut. Aber es ist sinnvoll sich das Urteil des EuGH genauer durchzulesen. Denn diese Standardvertragsklauseln  sollen zwar grundsätzlich wirksam sein. Aber sie können, so der EuGH, einen Datentransfer in die USA (und das ist ja hier das entscheidende Problem) allenfalls dann ermöglichen, wenn sie durch zusätzliche Vereinbarungen (wie bspw. die Zusage bestimmter Maßnahmen durch den US-Datenempfänger) ergänzt werden. Und zwar so, dass das Problem der Datenübermittlung in die USA (Zugriffsrechte von Behörden und Geheimdiensten ohne rechtsstaatliche Kontrolle und ohne Rechtsbehelf der EU-Bürger) beseitigt wird.

Wie aber soll das gehen? Es gibt keine Möglichkeit durch privatrechtliche Vereinbarungen oder durch  Maßnahmen irgendwelcher Art diese gesetzlichen Befugnisse in den USA zu beseitigen oder zu umgehen.

Meiner Meinung nach hat der EuGH die Standardvertragsklauseln auch für die USA-Transfers damit für unzulässig angesehen. Er hat nur deshalb diese Standardvertragsklauseln  nicht auch insgesamt als unwirksam betrachtet, weil sie für alle Datentransfers aus der EU heraus eingesetzt werden können. Besteht also kein Angemessenheitsbeschluss der EU (zuletzt wurde ein solcher für Japan erlassen), dann kann ein Datentransfer mit Hilfe der Vereinbarung der Standardvertragsklauseln  ermöglicht werden.

Wenn aber, wie in den USA, gesetzliche Regelungen einer solchen Vereinbarung entgegenstehen, dann geht das schlicht nicht.

Mein trauriges Zwischenfazit: Standardvertragsklauseln gehen auch nicht

Meine traurige Erkenntnis: Auch die Vereinbarung von Standardvertragsklauseln können den Datentransfer in die USA nicht rechtfertigen. Auch , wenn die Klauseln noch so kreativ ergänzt werden.

Ich könnte mir allenfalls vorstellen, dass die verschlüsselte Übermittlung in die USA und die dort ausschließlich verschlüsselte Verarbeitung helfen würden. Denn dann birgt der Zugriff der US-Behörden auf diese Daten kein Sicherheitsrisiko.

Meine Tipps zum weiteren Vorgehen finden Sie hier.

Timo Schutt
Ihr Datenschutz Partner
Fachanwalt für IT-Recht

Urheberangabe für das Foto für diesen Beitrag: