Stellungnahme des Bundesverbandes IT-Sicherheit zum Privacy-Shield-Urteil des EuGH

Teletrust kommentiert EuGH-Urteil zum Privacy Shield

21. Juli 2020, 07:00 Uhr   |  Jörg Schröper

Teletrust kommentiert EuGH-Urteil zum Privacy Shield
© Wolfgang Traub

Der Bundesverband IT-Sicherheit (Teletrust) hat eine Stellungnahme zum Urteil des EuGH zum Privacy Shield zwischen der EU und den USA abgegeben. Zugleich gibt der Verband Handlungsempfehlungen für Unternehmen, wie diese jetzt verfahren sollten.

Mit seinem Urteil vom 17.06.2020 hat der EuGH das Privacy-Shield-Abkommen zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam erklärt, da es kein Schutzniveau auf dem Level der DSGVO sicherstellt. Insbesondere stehe Betroffenen in den USA kein Rechtsweg zur Durchsetzung der im Unionsrecht verankerten Rechtsgarantien offen. Die Standardvertragsklauseln (SCC) für die Übermittlung an Auftragsverarbeiter hat der EuGH dagegen nicht als unwirksam angesehen. Einem Transfer von Daten in Nicht-DSGVO-Staaten kann die Entscheidung dennoch entgegenstehen. Datentransfers in die USA sind ab sofort datenschutzwidrig, wenn sie (ausschließlich) auf Grundlage einer Privacy-Shield-Zertifizierung erfolgen, so Teletrust. Erfasst sind nicht nur Übermittlungen an Auftragsverarbeiter, sondern auch solche innerhalb eines Konzerns oder an Geschäftspartner.

Sowohl der Einsatz von Software-Tools, bei denen zumindest ein Teil der Datenverarbeitung in den USA erbracht wird, als auch die konzerninternen Datenflüsse an US-Konzernunternehmen sind zu überprüfen, so Teletrust weiter. Auf den Sitz der beteiligten Unternehmen komme es nicht an. Entscheidend sei allein, ob die Daten in die USA verbracht werden sollen. Auf Basis des Privacy Shields sei dies nicht mehr zulässig.

Ob Transfers in die USA oder andere Rechtsordnungen unter den SCCs zulässig sind, dürfte nach Einschätzung von Teletrust davon abhängen, ob dem Betroffenen auch tatsächlich wirksame Mittel der Ausübung zentraler Rechte nach der DSGVO im Zielland bereitstehen.

Umgekehrt ist nicht jede Datenübermittlung in die USA von dem EuGH-Urteil betroffen, so Teletrust weiter. Zulässig bleibe eine Übermittlung, die zur Erfüllung eines Vertrags (oder Durchführung vorvertraglicher Maßnahmen) mit dem Betroffenen erforderlich ist. Ebenso nicht unmittelbar betroffen sei die Nutzung von US-Dienstleister, wenn die Leistungserbringung vollständig in europäischen Rechenzentren erfolgt.

Seite 1 von 2

1. Teletrust kommentiert EuGH-Urteil zum Privacy Shield
2. Empfehlungen von Teletrust

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

LANline

Security-Management