SecureDataService Dipl. Ing. (FH) Nicholas Vollmer
Priorstraße 63
41189 Mönchengladbach
Telefon: 02166/96523-30
www.SecureDataService.de
SDS / Unser Unternehmen / News / News-Details

EU-US-Privacyshield ist gekippt !!!

von Nicholas Vollmer (Kommentare: 0)

Die Übermittlung von personenbezogene Daten an Empfänger in Drittländern (außerhalb Europas) ist ein Problem, weil die Prinzipien des europäischen Datenschutzes dort oftmals nicht gelten. Dies ist - sorry - vergleichbar damit, dass ein deutscher Gefängnisinsasse nach Guantanamo verlegt würde; er verliert die Privilegien der Rechtsstaatlichkeit.

Der EuGH hatte zu prüfen, ob die beiden Mittel "EU-Standardvertrag" und "EU-US-PrivacyShield" die gebotene Rechtsstaatlichkeit gewährleisten können.

Am 16.07.2020 liefert eine Pressemitteilung das Ergebnis; Sie finden die von uns kommentierte Version hier.

Kurz gesagt sehen wir in der Pressemeldung folgende Aspekte:

  • Die USA sind ein grenzenloser Überwachungsstaat ohne die gebotene Rechtsstaatlichkeit.

  • Das EU-US-PrivacyShield ist wirkungslos, weil die EU-Kommission den obigen Aspekt nicht beachtet hat.

  • Der EU-Standardvertrag ist nicht zu bemängeln, weil er die Vertragspartner explizit dazu auffordert die allgemeine Rechtsstaatlichkeit zu beurteilen und ggf. auf die Vertragsunterzeichnung zu verzichten. (Nur hat dies realistisch gesehen niemand gemacht.)

 

Eine wichtige logische Konsequenz hat der EuGH nicht erwähnt:

Auch ein EU-Standardvertrag mit den USA ist keine Option, weil das höchste europäische Gericht diesem Land eine grenzenlose Überwachung und mangelnde Rechtsstaatlichkeit vorwirft. Wie könnten die Vertragspartner eines EU-Standardvertrages hier zu einem anderen Ergebnis kommen?

Eine weitere wichtige Konsequenz ist:

Auch bei EU-Standardverträgen in andere Drittländer müssen Datenexporteur und -Importeuer gemeinsam überlegen und belegen, dass das jeweilige Empfängerland (z.B. Indien, Korea, ...) über eine ausreichende Rechtsstaatlichkeit verfügen.

Die "anerkannten" Drittländer (Schweiz, Neuseeland, ...) haben gut Lachen, denn sie sind von jenen Konsequenzen nicht betroffen. Dort auf der Liste müsste übrigens ganz bald die Erwähnung der USA gelöscht werden.

 

Was bleibt? Der Artikel 49 (1) liefert zusätzliche rechtliche Mittel, um einen Drittland-Transfer zu legitimieren:

  • eine EXPLIZITE Einwilligung

  • eine objektiv begründbare ERFODERLILCHKEIT für die Erfüllung eines Vertrags mit der betroffenen Person (z.B. bei der Buchung einer Reise in ein Drittland)

  • ... und noch einige andere Aspekte mehr.

 

Insofern ist es abzusehen, dass die Drittland-Transfer-Einwilligung an Bedeutung gewinnen wird. Doch der gebotene Einwilligungstext hat es in sich:

"Ja, ich willige ein, dass meine personenbezogenen Daten [IP-Adresse, URL, Zeitpunkt, ...] an einen Empfänger in den USA weitergegeben wird.
Bei den USA handelt es sich nach Anschauung des Europäischen Gerichtshof vom 16.07.2020 um ein unsicheres Drittland, wo die Geheimdienste ohne jede rechtliche Begrenzung auf Daten zugreifen können, und wo es keine ausreichenden rechtsstaatlichen Mittel gibt, um dort die Persönlichkeitsrechte [auf Auskunft, Widerspruch, Löschung, Berichtigung, Sperrung, Kopie...] wahrzunehmen. Mit dieser Einschränkung meines Datenschutzes erkläre ich  mich ausdrücklich einverstanden. Diese Einwilligung ist absolut freiwillig und kann jederzeit ohne Angabe von Gründen widerrufen werden. Der Widerruf bezieht sich dann aber nur auf die zukünftigen Daten, und die bisher übermittelten Daten bleiben davon unberührt.
"

Für den Verantwortlichen stellen sich dann zwei Probleme: (a) viele Personen werden nicht einwilligen und (b) wie soll man auf Widerrufe reagieren, wenn ein Produkt bzw. eine Dienstleistung untrennbar mit dieser Drittland-Übermittlung verbunden ist? Werden dann Verträge beendet und zuviel gezahltes Geld zurückgezahlt? Im Beschäftigungsverhältnis ist dies (auch aus diesem Grund) keine Option.

 

VORSICHT bei der Überlegung die Drittland-Übermittlung auf Basis der Vertragserfüllung gemäß Artikel 49 (1c). Diese Drittland-Übermittlung muss wirklich ERFORDERLLICH sein. Und das ist sie nicht, weil es z.B. "einfacher und gewohnter" ist eine Website-Nutzungsstatistik mit Google-Analytics durchzuführen statt einer lokalen MATOMO-Installation (ehemals "Piwik"). Das ist nicht "erforderlich", sondern "bequem".

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

Haben Sie noch keinen Datenschutzbeauftragten benannt, und angesichts der obigen Problemstellung haben Sie Zweifel, ob Sie die personenbezogenen Daten rechtskonform verarbeiten? Dann melden Sie sich bei uns... wir werden Ihnen weiterhelfen!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Zurück