Der Europäische Gerichtshof hat das Datenschutz-Abkommen „EU-US Privacy Shield“ mit sofortiger Wirkung für ungültig erklärt. Datenübermittlungen von der EU in die USA können nun nicht mehr auf das Privacy Shield gestützt werden.

Das „EU-US Privacy Shield“ ist ein Datenschutz-Abkommen, das die Übermittlung personenbezogener Daten von der EU in die USA regelte. Der Europäische Gerichtshof (EuGH) hat dieses Abkommen nun mit der Begründung für ungültig erklärt, dass bei Datentransfers an US-Unternehmen kein EU-konformes Datenschutzniveau gewährleistet ist. Betroffen sind über 5.000 US-Unternehmen, die Daten auf Grundlage des Privacy Shields von der EU in die USA übertragen.

Sind auch österreichische Unternehmen betroffen?

Ja, jegliche Übermittlung von personenbezogenen Daten in die USA könnte hiervon betroffen sein. Verwendet ein österreichisches Unternehmen z.B. Webtracking (z.B. „Gefällt mir“-Button bei Facebook), wickelt E-Mail-Accounts über die USA ab, nutzt Cloud-Lösungen mit Speicherung der Daten in den USA oder lagert schlichtweg diverse Datenverarbeitungsprozesse in die USA aus, könnte das Unternehmen betroffen sein.

Unternehmen sollten jedenfalls prüfen, welche digitalen (und analogen) Dienste sie in Anspruch nehmen und ob hier ein Datenaustausch mit den USA stattfindet. Grundsätzlich sollte das bereits mit dem 25. Mai 2018 (Geltung der EU-Datenschutz-Grundverordnung) durchgeführt worden sein, d.h. es sollte auch im Verarbeitungsverzeichnis des Unternehmens aufscheinen.

Was sollten betroffene Unternehmen tun?

Wenn der Datenverkehr mit den USA bejaht wird, sollte geprüft werden, ob dieser bisher auf das Privacy Shield als Rechtsgrundlage gestützt wurde. Wenn nicht, besteht derzeit noch kein Änderungsbedarf. Falls ja, besteht dringender Handlungsbedarf, da für den Datenverkehr nun eine neue Rechtsgrundlage gefunden werden muss (z.B. sogenannte „Standarddatenschutzklauseln“).

Dürfen Daten nun weiterhin in die USA übermittelt werden?

Ja, da neben dem Privacy Shield auch noch andere Möglichkeiten bestehen, Daten rechtmäßig in die USA zu übermitteln, z.B.:

– der Abschluss von „Standarddatenschutzklauseln“,
– verbindliche interne Datenschutzvorschriften (Binding Corporate Rules), wenn sie von der zuständigen Aufsichtsbehörde genehmigt wurden,
– eine ausdrückliche Einwilligung der vom Datentransfer betroffenen Personen im Einzelfall
– die Erforderlichkeit für die Erfüllung eines Vertrages mit der betroffenen Person

Derzeit ist noch nicht abschätzbar, ob österreichische Unternehmen von der Datenschutzbehörde zur Unterlassung des Datenverkehrs aufgefordert
werden. Zu hoffen bleibt, dass es auch eine Chance für die österreichischen Unternehmerinnen und Unternehmer in der IT-Landschaft birgt, welche bereits jetzt sichere Cloud-Lösungen innerhalb der EU oder sogar innerhalb Österreichs anbieten.