[Update 28.09.2020] Keine Überraschung: Der EuGH kippt das EU-US-Privacy-Shield – Schrems II

Heute (16. Juli 2020) hat der Europäische Gerichtshof (EuGH) mit der Urteilsverkündung im sogenannten Schrems-II-Verfahren (Rechtssache C‑311/18) das EU-US-Privacy-Shield gekippt, konkret: die entsprechende Angemessenheitsentscheidung der EU-Kommission für ungültig erklärt.

[Update 24.07.2020] Eine gute Zusammenstellung, was diese Entscheidung für Unternehmen in der EU und im Europäischen Wirtschaftsraum (EWR) bedeutet, findet sich auf den Seiten von NOYB, deren Ehrenvorsitzender Max Schrems ist (Links hierzu s.u. [/Update]

Dagegen haben die EU-Standardvertragsklauseln (SCC) bestand. Allerdings ist bei Datentransfers auf Basis der SCC vom Verantwortlichen zu prüfen, ob der Datenempfänger außerhalb von EU und Europäischen Wirtschaftsraum (EWR) überhaupt rechtlich in der Lage ist, die Vereinbarung der SCC einzuhalten, so dass ein angemessenes Datenschutzniveau erhalten bleibt. Dabei sind auch die rechtlichen Zugriffsmöglichkeiten von Sicherheitsbehörden und Geheimdiensten im Zielland zu berücksichtigen. Ist der Datenempfänger bereits rechtlich nicht in der Lage, die SCC einzuhalten darf der Datentransfer nicht erfolgen oder ist ein bereits gestarteter Datentransfer einzustellen. Sollte diese Prüfung nicht durch den Verantwortlichen erfolgen, ist es Aufgabe der Datenschutz-Aufsichtsbehörde den Datentransfer zu untersagen, wenn das angemessene Datenschutzniveau nicht eingehalten wird oder aus rechtlichen Gründen gar nicht eingehalten werden kann.

Zu Ihrer Information hier noch

• der Link zur Pressemitteilung des EuGH zum Urteil:
  https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf und
• der Link zum Urteil: http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=9715128 (inzwischen in allen EU-Sprachen verfügbar).

[Update 24.07.2020] Eine aus meiner Sicht sehr gute Darstellung der Schritte, die  Unternehmen in der EU und dem EWR nun durchführen sollten, die entweder direkt mit Unternehmen in den USA personenbezogene Daten austauschen oder mit Unternehmen in der EU bzw. dem EWR zusammenarbeiten, die wiederum mit US-Unternehmen in Verbindung stehen, findet sich im Beitrag „Nächste Schritte für EU-Unternehmen & FAQs“ von NOYB. Diesen Beitrag finden Sie hier

• auf deutsch: https://noyb.eu/de/naechste-schritte-fuer-eu-unternehmen-faqs
• auf englisch: https://noyb.eu/en/next-steps-eu-companies-faqs

Der Europäische Datenschutz-Ausschuss (EDSA, engl. EDPB für European Dataprotection Board) hat auch eine FAQ zum Urteil und den Folgen veröffentlicht (s.u. „23.07.2020 – EDSA“). [/Update][Update 29.07.2020] Hierzu gibt es inzwischen eine informelle deutsche Übersetzung (s.u.). Die Deutsche Datenschutz-Konferenz (DSK) „befürwortet die Positionierung des Europäischen Datenschutzausschusses“ (s.u. „28.07.2020 – DSK“  [/Update]

Eine kleine Linksammlung (ohne Anspruch auf Vollständigkeit, alles sind externe Links)

Aufsichtsbehörden

• 04.09.2020: EDSA: „37. Plenartagung: u.a. Taskforce zu Beschwerden im Anschluss an das EuGH-Urteil in der Rechtssache Schrems II„
• 24.08.2020 – LfDI Baden-Württemberg: „Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?„
• 28.07.2020 – DSK: „Urteil des Europäischen Gerichtshofs zur Übermittlung personenbezogener Daten in Drittländer („Schrems II“) stärkt den Datenschutz für EU-Bürgerinnen und Bürger“ – hier als PDF-Datei
• 24.07.2020 – BfDI: „EDSA beschließt FAQ zu Schrems II“ (siehe „23.07.2020 – EDSA“)
• 24.07.2020 – LfDI Rheinland-Pfalz: „FAQs zum EuGH-Urteil vom 16.7.2020 (C-311/18)“ (auf der verlinkten Seite nach unten scrollen)
• 23.07.2020 – EDSA: „Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18“ (PDF-Datei) – auf deutsch: „Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 — Data Protection Commissioner gegen Facebook Ireland Ltd und MaximillianSchrems„
• 17.07.2020 – EDSA (Europäischer DatenschutzAusschuss): „Statement on the Court of Justice of the European Union Judgment in Case C-311/18“ –  hier als PDF-Datei auch in Deutsch herunterladbar
• 17.07.2020: BlnBfDI: „Nach „Schrems II“: Europa braucht digitale Eigenständigkeit„
• https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/17_Schrems-II-Urteil.html
• https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/paukenschlag-eugh-schreddert-den-privacy-shield-datenuebermittlung-in-staaten-jenseits-der-eu-aber/
• https://www.tlfdi.de/mam/tlfdi/presse/200716_pressemitteilung.pdf
  online: https://www.datenschutz.de/max-schrems-laesst-auch-privacy-shield-abkommen-beim-eugh-durchfallen-dr-hasse-keine-ueberraschung-leider/
• https://datenschutz-hamburg.de/pressemitteilungen/2020/07/2020-07-16-eugh-schrems

Datenschutzinstitutionen

• https://www.eaid-berlin.de/dejavu-eugh-verwirft-den-eu-us-privacy-shield/
• https://www.bvdnet.de/presse/bvd-sieht-nach-eugh-entscheidung-zur-ungueltigkeit-des-eu-us-privacy-shield-europaeische-kommission-am-zug/
• GDD: „Handlungsempfehlungen: EuGH EU-US Privacy Shield und EU-Standardvertragsklauseln“ – weitere Materialien unter https://www.gdd.de/eu-us-privacy-shield-schrems-ii-urteil
• https://www.gdd.de/aktuelles/startseite/eugh-faellt-urteil-zum-eu-us-privacy-shield-und-den-eu-standardvertragsklauseln

Medien und Anwaltskanzleien

• 17.09.2020 – Althammer & Kill: „Das Scheitern des EU-US Privacy Shield – Update 17.09.2020„
• 11.08.2020, 02:28 Uhr – dpa via heise.de: „EU verhandelt mit USA über Nachfolgeregelung für Privacy Shield – Der EU-Justizkommissar und der US-Handelsminister suchen nach neuen Datenschutzregeln, die mehr transatlantischen Datenverkehr legalisieren würden.„
• 04.08.2020, 14:15 Uhr – heise.de: „Google setzt auf Standarddatenschutzklauseln nach gekipptem Privacy Shield – Weil der EuGH das Privacy-Shield-Abkommen gekippt hat, kündigt Google an, auf Standarddatenschutzklauseln zu setzen. Fraglich, ob die rechtlich haltbar sind.„
• 01.08.2020, 08:06 Uhr – heise.de: „Was das Ende des Privacy Shield für den Datenverkehr mit den USA bedeutet – Für einen lauten Knall sorgte am 16. Juli der Europäische Gerichtshof, als er das „Privacy Shield“-­Abkommen zwischen der EU und den USA für unwirksam erklärte.„
• 24.07.2020, 15:04 Uhr – heise.de: „EU-Datenschützer: Keine „Gnadenfrist“ nach Aus fürs Privacy Shield – Die EU-Datenschutzbeauftragten mahnen Firmen, die auf den transatlantischen Datenschutzschild setzten, ihre Transferpraktiken unverzüglich umzustellen.„
• 29.07.2020 – althammer-kill.de: „Das Scheitern des EU-US Privacy Shield – Update„
• https://netzpolitik.org/2020/datentransfers-eu-gericht-zerschlaegt-privacy-shield/
• https://www.sueddeutsche.de/digital/privacy-shield-schrems-facebook-1.4968965
• https://www.sueddeutsche.de/digital/privacy-shield-urteil-1.4969320
• https://www.heise.de/news/EuGH-kippt-EU-US-Datenschutzvereinbarung-Privacy-Shield-4845204.html?seite=all
• https://www.heise.de/news/Aus-fuers-Privacy-Shield-Der-internationale-Datenverkehr-kommt-ins-Trudeln-4846000.html?seite=all
• https://www.lto.de/recht/hintergruende/h/eugh-urteil-c31118-privacy-shield-gekippt-alternativen-datenuebermittlung-eu-usa/
• https://www.internetworld.de/technik/datenschutz/eugh-urteil-gravierende-folgen-datentransfers-in-usa-2555280.html

Meine Beiträge zum Thema Schrems II:
https://dsgvo.expert/wp/stichwort/schrems-ii/