Rittershaus Blog
  • Blog Startseite
  • Website
  • Pressemeldungen
  • Veranstaltungen
  • Podcast
  • Archiv

Neuste Beiträge

  • 1. Februar 2023:  Arbeitsrechtliche Herausforderungen beim Einsatz von „Corporate Influencern“

    1. Februar 2023: Arbeitsrechtliche Herausforderungen beim Einsatz von „Corporate Influencern“

    3 Tagen ago
  • 1. Februar 2023: REstart.038 – Wie ticken Banken bei der Sanierung von Unternehmen?

    1. Februar 2023: REstart.038 – Wie ticken Banken bei der Sanierung von Unternehmen?

    3 Tagen ago
  • 31. Januar 2023: Rechtsanwalt (m/w/d) Öffentliches Recht und erneuerbare Energien für unseren Standort München gesucht

    31. Januar 2023: Rechtsanwalt (m/w/d) Öffentliches Recht und erneuerbare Energien für unseren Standort München gesucht

    4 Tagen ago
  • 30. Januar 2023:  Lieferkettensorgfaltspflichtengesetz: Darauf kommt es jetzt für Unternehmen an / RITTERSHAUS-Experten kommentieren aktuelle Rechtsfragen rund um Nachhaltigkeit in der Lieferkette

    30. Januar 2023: Lieferkettensorgfaltspflichtengesetz: Darauf kommt es jetzt für Unternehmen an / RITTERSHAUS-Experten kommentieren aktuelle Rechtsfragen rund um Nachhaltigkeit in der Lieferkette

    5 Tagen ago
  • 30. Januar 2023: PUREplay.015 – Ready to go

    30. Januar 2023: PUREplay.015 – Ready to go

    5 Tagen ago

Blog Archiv

  • Februar 2023
  • Januar 2023
  • Dezember 2022
  • November 2022
  • Oktober 2022
  • September 2022
  • August 2022
  • Juli 2022
  • Juni 2022
  • Mai 2022
  • April 2022
  • März 2022
  • Februar 2022
  • Januar 2022
  • Dezember 2021
  • November 2021
  • Oktober 2021
  • September 2021
  • August 2021
  • Juli 2021
  • Juni 2021
  • Mai 2021
  • April 2021
  • März 2021
  • Februar 2021
  • Januar 2021
  • Dezember 2020
  • November 2020
  • Oktober 2020
  • September 2020
  • August 2020
  • Juli 2020
  • Juni 2020
  • Mai 2020
  • April 2020
  • März 2020
  • Februar 2020
  • Dezember 2019
  • November 2019
  • Oktober 2019
  • September 2019
  • August 2019
  • Juli 2019
  • Juni 2019
  • Mai 2019
  • April 2019
  • März 2019
  • Februar 2019
  • Januar 2019
  • Dezember 2018
  • November 2018
  • Oktober 2018
  • September 2018
  • August 2018
  • Juli 2018
  • Juni 2018
  • Mai 2018
  • April 2018
  • März 2018
  • Februar 2018
  • Januar 2018
  • Dezember 2017
  • November 2017
  • September 2017
  • Juni 2017
  • Januar 2017
  • Dezember 2016
  • November 2016
  • August 2016
  • Juli 2016
  • Juni 2016
  • April 2016
  • Februar 2016
  • Januar 2016
  • November 2015
  • September 2015
  • Juli 2015
  • April 2015
  • März 2015
  • Februar 2015
  • August 2014
  • Juli 2014
  • Oktober 2012
  • September 2012
  • August 2012
  • Juli 2012
  • Dezember 2011
Rittershaus Blog
  • Blog Startseite
  • Website
  • Pressemeldungen
  • Veranstaltungen
  • Podcast
  • Archiv

Suche

Kategorien:
Erscheinungsdatum:
mehr Suchoptionen
weniger Suchoptionen

Neueste Beiträge

  • 1. Februar 2023:  Arbeitsrechtliche Herausforderungen beim Einsatz von „Corporate Influencern“

    1. Februar 2023: Arbeitsrechtliche Herausforderungen beim Einsatz von „Corporate Influencern“

    3 Tagen ago
  • 1. Februar 2023: REstart.038 – Wie ticken Banken bei der Sanierung von Unternehmen?

    1. Februar 2023: REstart.038 – Wie ticken Banken bei der Sanierung von Unternehmen?

    3 Tagen ago
  • 31. Januar 2023: Rechtsanwalt (m/w/d) Öffentliches Recht und erneuerbare Energien für unseren Standort München gesucht

    31. Januar 2023: Rechtsanwalt (m/w/d) Öffentliches Recht und erneuerbare Energien für unseren Standort München gesucht

    4 Tagen ago

Blog Archiv

Schlagwörter

AGG AIJA alternative Konfliktlösungen Arbeits- und Gesundheitsschutz Arbeitsrecht Architekten- und Ingenieurrecht Architektenrecht Auszeichnung Auszeichnungen Außenwirtschaftsgesetz azur Awards 2020 Bank- und Kapitalanlagerecht Bau- und Immobilienrecht Bauordnungsrecht Bauplanungsrecht Baurecht BERNHARD NAUJACK Bernhard Naujack LL.M. Best Lawyers Born & Hauser brandeins Brexit Carolin Schulze Palstring Charlotte von Erdmann China Desk Christoph Hübner M.A. Commerce Compliance COOKIES CORINNA STIEHL Corona Corona-Task-Force Corporate Corporate Law Covid-19 CureVac Datenschutz Datenschutzrecht Designrecht DR. ADRIAN BUGGER Dr. Alexander Wünsche DR. ANDREAS NOTZ DR. ANDREAS TORKA Dr. Anne Dankowski Dr. Annette Saettele DR. ANNETTE SÄTTELE DR. ANNO HABERER Dr. Benjamin Rothmund DR. CHRISTINA ESCHENFELDER DR. CHRISTOPH RUNG DR. CLAUDIA PLEßKE Dr. Daniel Berg DR. DANIEL F. BERG Dr. Daniel Pflüger DR. DANIEL WEISERT Dr. Eva Schwittek DR. FELIX KLEMT Dr. Florian Hänle DR. HARTMUT FISCHER Dr. Henrik Friedrich Dr. Kirsten Girnth Dr. Ling Tong DR. MANFRED STOPFKUCHEN-MENZEL DR. MARC HAUSER DR. MARCO WICKLEIN Dr. Marco Wicklein; Dr. Marina Schäuble DR. MARKUS BAUER Dr. Markux Bauer DR. MARTIN BÜRMANN DR. MARTIN SCHMIDHUBER DR. MATTHIAS KEILBACH DR. MATTHIAS UHL Dr. Maximilian Gutsche Dr. Michael Grünwald DR. MICHAEL KÜHN Dr. Michael Wenzel DR. MILENA CHARNITZKY DR. MORITZ WEBER DR. PATRICK CERTA Dr. Patrick Schultes Dr. Patrick Treitz Dr. Sebastian Stepan Dr. Thomas Feldmann Dr. Timotheus Müller Dr. Tobias Schulz Dr. Ulrich Tödtmann Dr. Valentin Roden DR. Verena Hang DR. WERNER BORN Dr. Werner H. Born DR. WOLF-HENRIK FRIEDRICH Dr. Wolfgang Patzelt Eheverträge Einstweiliger Rechtsschutz ELER von BOCKELMANN Employment Law Energierecht Energy Erbrecht Erbschaftsteuerreform Erneuerbare Energien Europäischer Gerichtshof Evelina Levenson Familiencharta Familienrecht Familienstiftungen Familienunternehmen Frank Naab Fördermittel Geheimnisschutz Geistiges Eigentum Genehmigungsverfahren Generationswechsel Gerhard Müller Gesellschaftsrecht Gewerblicher Rechtsschutz Gewerbliches Miet- und Pachtrecht Gewerlicher Rechtsschutz Handelsrecht Heidelberger Institut für Mediation (HIM) Hendrik Grosse LL.B. M.Sc. Henrik Steffen Becker HR Lunch Immatics Immobilienrecht Insolvenz Insolvenzrecht Integrierte Projektabwicklung Intellectual Property Internationaler Datentransfer IP-Recht IPA IT-Governance IT-Recht IT-Recht & Datenschutz Italian Desk JENS MAGERS Johanna Bauer Johanna Louise Bauer LL.M. Julia Reinhardt Julia Reumann Julia Zerwell Julius Pieper Julius Quicker Juve Juve Award JÖRG DÖHRER Kanzlei des Jahres KARRIERE Karsten Harms Kartellrecht Katja Chalupper LL.M. Kennzeichenrecht Klimaschutz Klimaschutztag Krisenmanagement Krisenprävention Kristina Lindenfeld KRISTINA R. LINDENFELD Kunst- und Entertainment KUNST ZU GAST BEI RITTERSHAUS LARS SCHMIDT Legalink Legal Insights Legal Tech Lieferkettensorgfaltspflichtengesetz Life Sciences Life Sciences & Pharmarecht Lisa Zeman LkSG M&A M&A Transaktionen Magnus Brau Mannheimer Baurechtliche Gespräche Mannheimer Reden Manuela Luft Marc Hauser Markenrecht MARK OLIVER KÜHN LL.M. Mark Oliver Kühn LL.M. (Denver) Markus Brau Markus Spitz Marvin Lausmann Mediation mediationsanaloge (Nachfolge-)Beratung Medizinprodukte Medizinprodukterecht Michael Nellen Mietrecht Mitarbeiterbeteiligung myjobfair Award 2018 München Nachfolge Nachfolge in Familienunternehmen Nachhaltigkeit Nadja Hartmann NASDAQ Netzwerk Notification Obligations Organhaftung Patentrecht Patrick Schultes PATRICK TREITZ PAWEL BLUSZ Pawel Blusz LL.B. LL.M. Philipp Steinelt PlanSiG Planung Bau Anlagenbau Planungsrecht Planungsverfahren PMN PMN Award Podcast Praktikergespräche Praxisgruppe Arbeitsrecht Pressemeldung Pressemeldungen Pressemitteilung Privacy Shield Private Clients Private Clients & Familienunternehmen Privates Baurecht Prof. Dr. Antje Boldt Prof. Dr. Christof Hettich Prof. Dr. Dr. Tade M. Spranger Prof. Dr. Dr. Tade Spranger PROF. DR. GERALD RITTERSHAUS Prof. Dr. Ulrich Tödtmann Professional Management Network Prozessrecht PUREPLAY RAINER DIETMANN Real Estate Rechtsanwaltsfachangestellte (m/w/d) Referendare (m/w/d) Reputationsschutz Restrukturierung Rittershaus RITTERSHAUS Frankfurt RITvid Sanierung SAP Mitgründer Dietmar Hopp SARAH GBEKOR Sarah Kaufmann Schiedsverfahren Sebastian Koch LL.M. Social Media Spanish & Latin America Desk SRH Holding Standort München Steffen Holatka Stellenanzeige Steuerliche Nachfolge Steuerliche Risiken Steuerrecht Sustainability Sustainability & Impact Sustainability & Impact Practice Sustainable Investment and Finance Tax law Testamentsgestaltungen Top-Wirtschaftskanzlei Ulrich Loetz Umzug Unternehmens- und Vermögensnachfolge Unternehmenskauf Unternehmensnachfolge Unternehmensschutz Unternehmensstrafrecht Urheberrecht UWG Verena Eisenlohr VERENA EISENLOHR LL.M. Vergaberecht Vermögensnachfolge Vernissage Vertriebsrecht Verwaltungsrecht Webinar Wendelin Frhr. von Ketelhodt Werberecht Werberechtliche Gespräche Wettbewerbsrecht WIR Tage wiss. Mitarbeiter (m/w/d) Young Lawyers Forum Zhongding Öffentliches Baurecht Öffentliches Recht 中国业务 公司法
Allgemein,

17. Juli 2020: Internationaler Datentransfer nach USA: Adieu „Privacy Shield“ – Blogbeitrag von RA Mark Oliver Kühn, LL.M. (Denver)

rit-blog-Itrecht

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 16. Juli 2020 (Az. C-311/18) den Beschluss der Europäischen Kommission zum sog. „Privacy Shield“ gekippt. Damit entfällt ein wichtiger Pfeiler datenschutzkonformer Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten von Amerika. Unternehmen, die auf Basis des „Privacy Shield“ für eigene Datenübermittlungen das erforderliche angemessene Datenschutzniveau gewährleisten, müssen jetzt dringend die Vereinbarkeit der Datenverarbeitung mit geltendem Recht prüfen und ggf. Verträge, Prozesse und Dokumentation anpassen.

Rechtlicher Hintergrund

Personenbezogene Daten dürfen nach den maßgeblichen Vorschriften der Datenschutz-Grundverordnung („DSGVO“) grundsätzlich nur dann in ein Drittland übermittelt werden, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau bietet (Art. 44 ff. DSGVO). Die Europäische Kommission kann in einem Angemessenheitsbeschluss unter Berücksichtigung verschiedener Prüfkriterien feststellen, dass ein Drittland ein angemessenes Datenschutzniveau gewährleistet. Zu diesen Prüfkriterien gehören unter anderem die innerstaatlichen Vorgaben zu Rechtsstaatlichkeit, zur Achtung der Menschenrechte und Grundfreiheiten sowie zur Anwendung von (Datenschutz-)Vorschriften, zur Existenz und zur Wirksamkeit unabhängiger Aufsichtsbehörden. Liegt kein Angemessenheitsbeschluss vor, darf eine Übermittlung personenbezogener Daten – zusätzlich zu den sonstigen Voraussetzungen der DSGVO –nur dann erfolgen, wenn der in der Europäischen Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht.

Neben anderen Möglichkeiten, für ein angemessenes Datenschutzniveau Sorge zu tragen, hatte die Europäische Kommission in der Vergangenheit bereits die sog. „Safe-Harbor-Entscheidung“ (Entscheidung des Europäischen Parlaments und des Rates über die Angemessenheit der Grundsätze des „sicheren Hafens“, 2000/520/EG), den Beschluss zu sog. „Standardvertragsklauseln“ (2010/87/EG) und den Durchführungsbeschluss (EU) 2016/1250 über die Angemessenheit des EU-US-Datenschutzschild („Privacy Shield“) getroffen.

Was bisher geschah…

Bereits vor Jahren hatte ein in Österreich wohnhafter, österreichischer Staatsangehöriger und Nutzer von Facebook, Max Schrems, mit seiner Klage gegen die Datenübermittlung auf Basis der Safe-Harbor-Entscheidung durch Facebook in die USA Aufsehen erregt. In einem Urteil vom 6. Oktober 2015 war der EuGH der Argumentation von Schrems gefolgt, das Recht und die Praxis der Vereinigten Staaten böten keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin aus der Europäischen Union übermittelten Daten („Schrems I“). Die Datenübermittlung auf Basis von „Safe Harbor“ war mithin unzulässig.

In der Folgezeit stützte Facebook die Angemessenheit des Schutzes in den USA auf EU-Standardvertragsklauseln (2010/87/EG); später wurde zusätzlich die Vereinbarung über den sog. „Privacy Shield“ herangezogen. In den vom Irischen High Court auf erneute Klage von Schrems vorgelegten Vorabentscheidungsgesuch hatte dieser im Verfahren „Schrems II“ gegenüber dem EuGH die Frage der Gültigkeit sowohl der Standardvertragsklauseln als auch des Privacy Shield aufgeworfen.

Die Entscheidung des EuGH vom 16.7.2020

Während die Standardvertragsklauseln 2010/87 grundsätzlich als ausreichend erachtet wurden, teilt der EuGH in seiner am 16. Juli 2020 veröffentlichten Entscheidung die bereits von Schrems und auch von verschiedenen Datenschutzaufsichtsbehörden kommunizierte Auffassung, dass der Privacy Shield den Anforderungen an den Schutz personenbezogener Daten nicht genüge.

Die Charta der Grundrechte der Europäischen Union verbürge, so der EuGH, die Achtung des Privat- und Familienlebens, den Schutz personenbezogener Daten und das Recht auf effektiven gerichtlichen Rechtsschutz. Explizit in Analogie zu seiner Entscheidung in Sachen „Safe-Harbor“ stellte der EuGH fest, dass der durch den Privacy Shield insoweit eingeräumte Schutz den europäischen Maßstäben nicht hinreichend Rechnung trägt. Dies nicht zuletzt deshalb, weil den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des US-amerikanischen Rechts Vorrang eingeräumt werde. US-Behörden könnten hiernach auf personenbezogene Daten aus der EU zugreifen und diese – ohne ersichtlich den EU-Vorgaben entsprechende Verhältnismäßigkeitserwägungen oder sonstige Beschränkungen einhalten zu müssen – verwenden. Garantien zum Schutz der Persönlichkeitsrechte von Nicht-US-Bürgern seien ebenso wenig gewährleistet, wie adäquater Rechtschutz (vgl. Pressemitteilung Nr. 91/20 des Gerichtshofs der Europäischen Union vom 16. Juli 2020 sowie Urteil zu C-311/18).

Auswirkungen für die Praxis

Wie schon die damalige Entscheidung in Sachen Safe Harbor hat auch das jüngste Urteil des EuGH zum Privacy Shield erhebliche Auswirkungen für den transatlantischen Datenaustausch. Die Übermittlung von personenbezogenen Daten aus der Europäischen Union in die USA unter Berufung auf den sog. Privacy Shield ist für sich betrachtet unzulässig. Für Unternehmen entstehen erhebliche Unsicherheiten. Viel wird davon abhängen, wie die Aufsichtsbehörden sich im Lichte des Urteils verhalten und ob/inwieweit die EU und die Vereinigten Staaten schnell eine Alternative zur Verfügung stellen können. Ob andere geeignete Garantien im jeweiligen Einzelfall bestehen, muss von denjenigen Verantwortlichen, die sich bei Ihren Übermittlungen auf die Privacy-Shield-Zertifizierung des US-Unternehmens gestützt haben, zeitnah überprüft werden. Derzeit sind 5384 Unternehmen unter dem Privacy Shield Regime gemeldet (Stand: 17.7.2020, 12:43h).

Handlungsbedarf besteht nun – über das sonst schon übliche Maß hinaus – insbesondere im Bereich der Prüfung unternehmensinterner Prozesse, der personenbezogenen Datenübermittlungen zugrundeliegenden Vertragswerke sowie der zugehörigen unternehmensinternen Dokumentation. Wo werden personenbezogene Daten in die USA übermittelt? Welche Garantiemechanismen sind etabliert? In allen Bereichen unternehmerischen Handelns spielt die Gewährleistung eines angemessenen Schutzniveaus bei Datentransfers eine maßgebliche Rolle, sei es bei Cloud-Diensten, den in COVID-19-Zeiten boomenden Videokonferenz-Lösungen, im Bereich von Webseiten und bei Daten-Analytics-Dienstleistungen. Seit 2016 sind in einer Reihe von Bereichen auch die Entscheidung zum Privacy Shield bei der Gestaltung von Unternehmensabläufen referenziert und Prozesse hieraus aufgebaut worden.

Nicht zuletzt bleibt die verpflichtende Information an Betroffene über die Verarbeitung ihrer Daten nach Art. 13 f DSGVO zu prüfen und ggf. anzupassen. Auch dies gilt mit Blick auf die Webseiten von Unternehmen, auf denen häufig entsprechende Hinweise auf den Privacy Shield im Zusammenhang mit Dienstleistungen Dritter, häufig im Bereich Social Media tätiger Datenverarbeiter zu finden sind. Unternehmen sollten unbedingt prüfen, inwieweit Datenverarbeitungen, für die die Übermittlung personenbezogener Daten nach USA zwingend erforderlich sind, bis zur Etablierung anderer geeigneter Garantien eines angemessenen Schutzniveaus, auszusetzen sind.

Bei Verstößen gegen die Regelungen zur Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland nach den Artikeln 44 ff. DSGVO drohen gemäß Art. 83 Abs. 5 lit c) DSGVO empfindliche Geldbußen von bis zu 20.000.000,00 EUR oder – im Fall eines Unternehmens – von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Die in jüngster Vergangenheit von Aufsichtsbehörden in der gesamten EU eingeleiteten Verfahren und verhängten, teils drastischen Geldbußen zeigen die Praxisrelevanz und sollten Anlass genug sein, auch in dieser Hinsicht die eigene datenschutzrechtliche Compliance auf den Prüfstand zu stellen.

Zum Autor:

Rechtsanwalt Mark Oliver Kühn, LL.M. (Denver) berät und begleitet nationale und internationale Unternehmen seit ca. 20 Jahren bei der rechtssicheren Gestaltung von Unternehmensprozessen, insbesondere in den Bereichen Softwarevertragsrecht und Open Source, IT-Outsourcing- und Projektverträge, Datenschutz und Datensicherheit. Mark Oliver Kühn ist Co-Chair der Praxisgruppe IP/IT und wurde vom Handelsblatt in Kooperation mit dem US-Verlag „Best Lawyers“ für 2020/21 im Bereich „IT-Recht“ ausgezeichnet. Er steht Ihnen bei Fragen rund um das Thema IT und Datenschutz gerne zur Verfügung.

ComplianceDatenschutzInternationaler DatentransferMARK OLIVER KÜHN LL.M.Privacy Shield
Previous

17. Juli 2020: RITPod – Eheverträge und die Corona-Krise

17. Juli 2020
Next

27. Juli 2020: RITTERSHAUS begleitet CureVac AG bei privater Finanzierungsrunde über rund 560 Millionen Euro

27. Juli 2020

© RITTERSHAUS Rechtsanwälte Steuerberater PartmbB

Rechtliche Hinweise   Datenschutz