Text

Ein Beitrag von RA Kai Bodensiek, Partner BvM Berlin

 

Wieder hatte der österreichische Jurist Max Schremms gegen die die Datenweitergabe von Facebook geklagt. Diesmal jedoch nicht auf der Grundlage von Safe Harbor, wie noch vor 5 Jahren, sondern diesmal auf der Grundlage der Nachfolgeregelung namens "Privacy Shield". Nachdem der EuGH bereits auf sein Betreiben "Safe Harbor" für unwirksam erklärt hatte, tat er nun mit "Privacy Shield" gleich. Wie von vielen Seiten erwartet erfüllt auch Privacy Shield nicht die Anforderungen, die der EuGH an die Garantien zur sicheren Datenverarbeitung in den USA schon in der Safe Harbor-Entscheidung geknüpft hatte. Zusagen von US-Seite waren nicht justitiabel und ein effektiver Rechtschutz in den USA auch unter Privacy Shield nicht gegeben. Anders als noch vor 5 Jahren dürften sich die Konsequenzen diesmal jedoch in Grenzen halten. 

Da in Datenschutzkreisen schon lange davon ausgegangen wurde, dass auch Privacy Shield diese Anforderungen nicht erfüllen würde, haben die meisten Unternehmen sich in den letzten 5 Jahren gerade nicht auf Privacy Shield verlassen, sondern in vielen Fällen parallel die sogenannten Standsvertragsklauseln der EU-Kommission vereinbart. Hierbei handelt es sich um eine nicht bzw. kaum veränderbare Vertragsvorlage, bei deren Verwendung von einem ausreichenden Datenschutz beim Empfänger ausgegangen werden darf. Diese Möglichkeit als Grundlage der Datenübermittlung hat der EuGH ausdrücklich offen gelassen. Die Verwendung der Standardvertragsklauseln der EU-Kommission ist allerdings jetzt auch zwingend.

Praktisch sollte jedes Unternehmen die eigene Datenschutzerklärung bzw. die eigenen Auftragsdatenverarbeitungsvereinbarungen dahingehend prüfen, ob bei der Zusammenarbeit mit US-Unternehmen die Übermittlung bisher auf der Grundlage von Privacy Shield erfolgte und falls ja, ob parallel die Standardvertragsklauseln der EU-Kommission verwendet wurden. Ist dies der Fall müßte ggfs. lediglich die Rechtsgrundlage in der Datenschutzerklärung angepasst werden. Soweit jedoch allein Privacy Shield die Rechtsgrundlage darstellt, muss hier nun unverzüglich auf den Abschluss der Standardvertragsklauseln gedrängt oder die Zusammenarbeit beendet werden, soweit keine sonstige Ausnahme vorliegt.

Inwiefern die Entscheidung konkret Auswirkungen auf Facebook und deren Datennutzung haben wird, wird sich zeigen. Es ist auf jeden Fall nicht anzunehmen, dass die Datenschutzbehörden wieder großzügige Kulanzfristen zur Umsetzung des Urteils einräumen werden, wie dies noch bei der Safe Harbor-Entscheidung der Fall war. 

Mehr Artikel zu: Medien-IT-Recht