EuGH kippt Privacy Shield: 5 Dinge, die Unternehmen jetzt unbedingt beachten sollten

Der Europäische Gerichtshof (EuGH) hat das „EU-US Privacy Shield“ gekippt: der freie Datenaustausch zwischen der EU und den USA ist also unzulässig. Unternehmen, die sich bisher allein auf das Privacy-Shield-Abkommen zwischen Europa und den USA verlassen haben, haben nun ein Problem. Wir geben fünf Handlungsempfehlungen für Unternehmen.

1. Identifiziere deine Datenflüsse

Die gute Nachricht: Niemand erwartet, dass du deine Datenverarbeitungsprozesse von heute auf morgen umstellst. Es wird zunächst einen Übergangszeitraum geben, da die nationalen Aufsichtsbehörden, in deren Aufgabenbereich die Durchsetzung des Urteils fällt, erst einmal Empfehlungen aus dem EuGH-Urteil ableiten und veröffentlichen müssen. 

Unser Tipp: Lehne dich trotzdem nicht entspannt zurück, sondern nutze die Zeit, um dir einen Überblick über deine Daten und vor allem deinen Datenfluss zu verschaffen. Relevant hier: Welche Daten übermittelst du in die USA? Bilden diese Daten womöglich die Grundlage für dein Geschäftsmodell? Falls ja, kläre zunächst, wie schnell du eine Umstellung (z.B. durch einen Wechsel zu einem innereuropäischen Anbieter), umsetzen könntest – um für den Fall, dass Behörden kurzfristig einen Datentransfer verbieten, vorzusorgen. 

2. Prüfe ob Standardvertragsklauseln bestehen

Unternehmen, die sich bisher rein auf das EU-US-Privacy-Shield-Abkommen verlassen haben, müssen nun mit ihren US-Vertragspartnern auf eine andere Rechtsgrundlage für den Drittlandstransfer umstellen, z.B. auf alternative Vereinbarungen wie EU-Standardvertragsklauseln. 

Die schlechte Nachricht: Niemand kann garantieren, dass diese auf Dauer zulässig sind. Der Hintergrund: Der EuGH hat EU-Standardvertragsklauseln zwar nicht allgemein für ungültig erklärt, fordert aber, dass geprüft wird, ob in dem betreffenden Drittland angemessen durchsetzbare Rechte und wirksame Rechtsbehelfe bestehen. Die Aufsichtsbehörden können Datentransfers also von nun an trotz bestehender EU-Standardvertragsklauseln untersagen. Für einen Großteil des Datenaustauschs mit den USA könnten EU-Standardvertragsklauseln demnach möglicherweise nicht mehr ausreichen.

Unser Tipp: Lass dich hierzu zeitnah von einem Fachanwalt beraten, um eine Risikoabwägung vornehmen zu können. 

3. Hole dir die Einwilligung deiner Nutzer ein

Dir wäre eine 100-prozentig rechtssichere Lösung, unabhängig von Standardvertragsklauseln oder Ähnlichem im Umgang mit den Daten deiner Nutzer am liebsten? Dann solltest du, bevor du personenbezogene Daten verarbeitest und gegebenenfalls weiterleitest, vorab die Einwilligung deiner Nutzer einholen. 

Unser Tipp: Setze auf eine sogenannte “Consent Management Platform (CMP)” – eine Software-Lösung, die es ermöglicht, die Privatsphäre-Präferenzen deiner Webseiten- oder App-Nutzer in Bezug auf jeden einzelnen Dienst, der in deiner Webseite implementiert ist, rechtskonform abzufragen und auditierbar zu dokumentieren. So verlässt du den rechtlichen Graubereich und kannst sicherstellen, dass auch nur genau die Daten an Drittanbieter weitergegeben werden, für die die explizite – und vor allem eine informierte – Nutzer Einwilligung vorliegt.

4. Verschlüssele deine Daten und/oder steige gegebenenfalls auf andere Anbieter um

Um in Zukunft rechtlich auf der sicheren Seite zu sein, bietet sich europäischen Unternehmen, die Daten in den den USA verarbeiten und bisher rein auf das Privacy Shield gesetzt haben, eventuell die Option, diese Daten zu anonymisieren oder speziell zu verschlüsseln.

Unser Tipp: Prüfe, ob dein Business-Model eventuell auch auf Grundlage von Daten ohne konkreten Personenbezug funktioniert, also die Möglichkeit besteht, den Personenbezug von Daten aufzuheben oder zumindest zu begrenzen. Falls ja, passe deine Datenverarbeitung entsprechend an. Prüfe auch, ob eventuell sogar der Wechsel zu einem alternativen Anbieter innerhalb der EU möglich ist, um erst gar keine Datentransfer in die USA zu erzeugen.   

5. Behalte die Rechtslage im Blick

Es ist zu erwarten, dass sämtliche europäische Datenschutzbehörden aufgrund des EuGH-Urteils in den kommenden Wochen Handlungsempfehlungen veröffentlichen werden, wie das Urteil in der Praxis konkret umgesetzt werden sollte.

Unser Tipp: Schaue beim Thema Datenschutz unbedingt auch über den Tellerrand! 

Neben Urteilen des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshof (BGH) sowie den Leitlinien der Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, stellen beispielsweise auch Empfehlungen der französischen Datenschutzbehörde (CNIL) und des Europäischen Datenschutzausschusses (EDSA) Handlungsempfehlungen dar. Auch Bußgeldbeschlüsse einzelner europäischer Behörden enthalten in den Entscheidungsgründen wegweisende Regelungen zur praktischen Umsetzung der Anforderungen der DSGVO – so etwa die Entscheidung der Dänischen Datenschutzbehörde (Datatilsynet DSK) im Fall gegen das Dänische meteorologische Institut.