Dürfen jetzt überhaupt noch personenbezogenen Daten in die USA übermittelt werden?
Der Europäische Gerichtshof (EuGH) hält das Datenschutzniveau in den USA nicht für gleichwertig mit dem in der Europäischen Union. Deshalb erklärte das Gericht die „Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig“ und hob damit die Entscheidung der EU-Kommission aus dem Jahr 2016 auf.
Was ist das EU-US-Privacy Shield?
Das EU-US-Privacy Shield ist eine informelle Vereinbarung zwischen der EU-Kommission und den USA auf dem Gebiet des Datenschutzrechtes und legitimierte die Verarbeitung personenbezogener Daten aus der EU in den USA. Die Vereinbarung wurde aus der Taufe gehoben, nachdem der EuGH im Jahr 2015 die Vorgängerregelung »Safe-Harbor« für unwirksam erklärt hatte.
Überwachung durch US-Geheimdienste
Bereits seit den Enthüllungen von Edward Snowden aus dem Jahr 2013 ist öffentlich bekannt, dass US-Geheimdienste eine Massenüberwachung praktizieren. Der EuGH begründet seine aktuelle Entscheidung damit, dass die „Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind“ und die Betroffenen keine Rechte besitzen, die sie gegenüber den amerikanischen Behörden gerichtlich durchsetzen könnten.
Dürfen jetzt überhaupt noch personenbezogenen Daten in die USA übermittelt werden?
Zwar hat das Gericht entschieden, dass weiterhin „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern“ genutzt werden dürfen, jedoch weist es ausdrücklich darauf hin, dass die Aufsichtsbehörden verpflichtet sind, die Datenübermittlung in ein Drittland auszusetzen oder zu verbieten, wenn die Klauseln in „diesem Land nicht eingehalten werden oder nicht eingehalten werden können“. Die Datenschutzbehörden weisen in ihrer Stellungnahme darauf hin, dass nach dem Urteil des EuGH Datenübermittlungen in die USA auf Basis der Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht zulässig sind.
Dürfen Server-Standorte in der EU genutzt werden?
Seit 2018 sind amerikanische Internet-Firmen und IT-Dienstleister verpflichtet, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. Somit bieten auch Sever-Standorte innerhalb der EU keinen Schutz vor dem Datenzugriff durch die US-Geheimdienste. Eine Datenübermittlung in die USA ist jedoch nach dem Urteil des EuGH in einzelnen Situationen weiterhin möglich, etwa wenn sie auf die informierte Einwilligung gestützt werden, die von der betroffenen Person jederzeit widerrufen werden kann. Ebenso sind Datenübermittlungen erlaubt, die notwendig sind, um einen Vertrag zu erfüllen (z.B. für eine Hotelbuchung in den USA).
Wer muss jetzt aktiv werden?
Verantwortliche – für Beschäftigtendaten sind das die Arbeitgeber – müssen unverzüglich überprüfen, ob sie unter den neuen Bedingungen weiterhin personenbezogene Daten in die USA übermitteln dürfen. Bei Nichtbeachtung der EuGH-Entscheidung drohen Geldbußen. Eine Übergangs- bzw. Schonfrist gibt es nicht.
Was können Betriebsräte tun?
Betriebsräte können die verantwortliche Stelle fragen, welche Aktivitäten ergriffen werden, um eine grundrechtskonforme Datenverarbeitung zu gewährleisten. Bei der Einführung von Cloud-Diensten können die Gremien sich für die Auswahl entsprechender Anbieter einsetzen.
