Stellungnahme des Bundesverbandes IT-Sicherheit zum Privacy-Shield-Urteil des EuGH
Teletrust kommentiert EuGH-Urteil zum Privacy Shield
Fortsetzung des Artikels von Teil 1
Empfehlungen von Teletrust
Teletrust empfiehlt das Identifizieren der betroffenen Datenflüsse sowie ein Umstellen auf alternative Garantien. Die Übermittlung der personenbezogenen Daten ließen sich demnach nach wie vor auf die sogenannten Standardvertragsklauseln der EU-Kommission stützen. Diese stellen grundsätzlich ein angemessenes Datenschutzniveau beim Empfänger her, sofern sie unverändert vereinbart werden. Der EuGH hat die SCC in seinem Urteil ausdrücklich als solche nicht beanstandet, so Teletrust. Allerdings habe er zugleich auch darauf hingewiesen, dass der Verantwortliche auch bei Verwendung der SCC prüfen muss, ob das Recht des Ziellands einen angemessenen Schutz personenbezogener Daten bietet.
Besteht keine Garantie für ein angemessenes Datenschutzniveau, kann laut Teletrust die Übermittlung ins Drittland auch auf eine Einwilligung des Betroffenen gestützt werden. Die Einwilligung müsse jedoch ausdrücklich erfolgen und erfordere, dass der Betroffene auf die Risiken eines fehlenden Angemessenheitsbeschlusses oder der Garantie eines Datenschutzniveaus hingewiesen wurde.
Eine weitere Empfehlung ist, die Hinweise der Aufsichtsbehörden zu beachten. Das Urteil schaffe für die betroffenen Unternehmen große Rechtsunsicherheit. Eine langfristige und verlässliche Absicherung des Datentransfers in die USA fehle. In dieser Lage sei zu erwarten, dass sich die Aufsichtsbehörden auf nationaler und europäischer Ebene zeitnah äußern und eigenen Hinweisen und Handlungsempfehlungen veröffentlichen werden. Die Berliner Behörde ist bereits vorgeprescht, obwohl hier eine Abstimmung der Datenschutzbehörden aller EU-Länder angezeigt wäre, so Teletrust.
Das Urteil des EuGH entfaltet unmittelbar Gültigkeit. Damit sind die betroffenen Datenübermittlungen ab sofort rechtswidrig. Entsprechend sollten Unternehmen die Maßnahmen unverzüglich ergreifen. Gleichzeitig sei nach Einschätzung von Teletrust jedoch nicht zu erwarten, dass Aufsichtsbehörden unmittelbar Bußgelder verhängen.
Der Rechtsanwalt Karsten U. Bartels, stellvertretender Teletrust-Vorsitzender und Leiter der Teletrust-AG Recht, fasst zusammen: „Das Urteil betrifft in erster Linie den Datentransfer in die USA. Bereits hier sind die Auswirkungen für Unternehmen gravierend, da derzeit keine langfristige Möglichkeit der Übermittlung von Daten in die USA ersichtlich ist. Die Auswirkungen sind aber noch weitreichender. Für viele typische Verarbeitungsländer bestehen die gleichen erheblichen Zweifel an entsprechendem Rechtsschutz, insbesondere nachdem der EuGH diesen ausdrücklich auch für den Arbeitsbereich der Sicherheitsbehörden fordert. Wer alle Risiken vermeiden möchte, wird daher auf einer Verarbeitung in Europa unter ausschließlicher Kontrolle europäischer Unternehmen bestehen müssen.“ Nachdem dies häufig technisch oder wirtschaftlich nicht als Option erscheine, könne man auch abwarten, wie die Aufsichtsbehörden die Risiken einschätzen werden.
Weitere Informationen stehen unter www.teletrust.de zur Verfügung.
- Teletrust kommentiert EuGH-Urteil zum Privacy Shield
- Empfehlungen von Teletrust
Lesen Sie mehr zum Thema
