Düsseldorf, 17. Juli 2020 – Der Europäische Gerichtshof (EuGH) hat das Datenschutzabkommen EU-US-Privacy-Shield für unwirksam erklärt. Das Urteil ist relevant für Unternehmen, die Daten von Nutzern, Kunden, Mitarbeitern, aber auch Gerätedaten, die auf einzelne Anwender beziehbar sind, mit Partnern oder verbundenen Unternehmen in den USA oder anderen nicht-europäischen Ländern austauschen. Hogan Lovells stellt die wichtigsten Handlungsempfehlungen für Unternehmen zusammen.

Wer personenbezogene Daten von Europa in die USA oder andere Drittländer außerhalb der EU und des Europäischen Wirtschaftsraumes überträgt, muss künftig noch genauer prüfen, ob der Datenschutz beim Empfänger gewährleistet ist. Der EuGH hat entschieden, dass das EU-U.S: Privacy Shield für den Datentransfer in die USA ab sofort keine rechtliche Grundlage mehr bilden kann. Gleichzeitig stellt er in Frage, inwieweit Unternehmen ihre Datentransfers in die USA und in andere Drittländer auf die Standardvertragsklauseln der Europäischen Kommission stützen können. Damit hat das Urteil massive Auswirkungen auf die Rechtmäßigkeit von Datentransfers in sämtliche nicht-europäische Staaten.

Handlungsempfehlungen für Unternehmen

Unternehmen sollten Maßnahmen ergreifen, um die internationalen Datentransfers in ihrem Verantwortungsbereich mit der DSGVO und dem Urteil des EuGH in Einklang zu bringen. Zu den möglichen Schritten zur Risikoreduzierung gehören insbesondere folgende Maßnahmen:

- Data Mapping: Falls noch nicht geschehen, sollten Unternehmen die internationalen Datentransfers und implementierten Transfermechanismen in ihrem Verantwortungsbereich identifizieren. Dies umfasst sowohl Datentransfers zwischen einzelnen Konzerngesellschaften, einschließlich der gruppeninternen Übermittlung von Arbeitnehmerdaten, als auch Transfers an Dienstleister, Geschäftspartner oder sonstige Dritte.

- Überprüfen des Schutzniveaus im Einzelfall: Unternehmen müssen nach den Vorgaben des EuGH für jeden Einzelfall beurteilen und dokumentieren, ob ausreichende Garantien zur Absicherung der internationalen Datentransfers implementiert wurden. In dieser Hinsicht wird es bei Datenübermittlungen in die USA besonders relevant sein, inwieweit der Datenempfänger Eingriffsbefugnissen der US-Geheimdienste unterliegt.

- Wechsel zu alternativen Garantien: Stellt sich beim Data Mapping heraus, dass ausschließlich das Privacy Shield zur Legitimierung der Übermittlung verwendet wurde, müssen Unternehmen aufgrund der Unwirksamkeit des Privacy Shields auf andere Garantien umsteigen.

- Umsetzung von zusätzlichen Schutzmaßnahmen: Auch bei Datentransfers auf Grundlage der Standardvertragsklauseln ist zu prüfen, ob durch die Umsetzung zusätzlicher Schutzmaßnahmen, einschließlich des Abschlusses weitere vertraglicher Garantien ("SCC Plus"), das Schutzniveau beim Empfänger angemessen gesichert werden kann.

- Stellungnahmen der Datenschutzbehörden beobachten: Die für die nächste Zeit zu erwartenden Stellungnahmen der Aufsichtsbehörden auf nationaler Ebene und des Europäischen Datenschutzausschusses sollten beachtet werden. Einzelne Stellungnahmen der Datenschutzbehörden sind bereits veröffentlicht (z.B. Hamburg, Rheinland-Pfalz und Thüringen).

"Das Urteil macht deutlich, dass es in der globalisierten Welt unerlässlich ist, ein hohes Schutzniveau für personenbezogene Daten sicherzustellen. Unternehmen sollten ihre Verträge und Transfermechanismen zum Austausch von Daten mit Empfängern in den USA, aber auch anderen Drittländern, nochmals gründlich prüfen" so Christian Tinnefeld und Martin Pflüger, Partner bei Hogan Lovells und Experten für Datenschutz und IT-Recht an den Standorten Hamburg und München. "Außerdem ist es dringend ratsam, die weiteren Stellungnahmen und das Vorgehen der Datenschutzbehörden im Blick zu behalten. Für den internationalen Datentransfer müssen in den kommenden Wochen und Monaten angemessene und zugleich verlässliche Lösungen gefunden werden."