 |
 |
Sie befinden sich hier: Startseite > Digitalisierung > Internationaler Datenaustausch
Innerhalb der Europäischen Union (EU) dürfen Daten frei ausgetauscht werden, denn innerhalb der EU gilt das gleiche Datenschutzniveau. Für den Datentransfer über die Grenzen der EU hinaus, gilt dies jedoch nicht. Es gibt privilegierte Staaten, bei denen angenommen wird, dass ihre Datenschutzbestimmungen ähnlichen Ansprüchen genügen wie in Europa, dazu gehören Israel, Kanada, die Schweiz, Neuseeland und Japan. Nach dem vollendeten Brexit wird das Vereinigte Königreich höchstwahrscheinlich ebenfalls dazu gehören (
siehe Artikel 45 DS-GVO - Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses). Die USA gehören jedoch nicht zu diesem erlesenen Kreis [1]. Wenn US-amerikanische Unternehmen Daten aus dem EU-Raum in die USA transferieren wollten, konnten sie sich verpflichten, die Datenschutzbestimmungen für europäische Bürger*innen einzuhalten. Hierfür trugen sie sich in ein Verzeichnis ein, dass bis 2015 „Safe Habor“ (sicherer Hafen) hieß. Am 6. Oktober 2015 ( C-362/14 - Schrems) erklärte der Europäische Gerichtshof (EuGH) „Safe Habor“ für ungültig [2].
Danach folgte das sogenannte „Privacy Shield“. Dieses Abkommen wurde am 16. Juli 2020 vom EuGH ( C-311/18 - Facebook Ireland und Schrems) ebenfalls für ungültig erklärt.
Nach diesem Urteil liegt kein „Angemessenheitsbeschluss“ nach Art. 45 DS-GVO mehr vor und es ist generell nicht mehr gestattet Daten von europäischen Bürger*innen in die USA zu übertragen. Es ist jedoch weiter zulässig sogenannte Standarddatenschutzklauseln (SDK) einzusetzen (siehe Artikel 46 DS-GVO - Datenübermittlung vorbehaltlich geeigneter Garantien). Diese ermöglichen beispielsweise auch den Datentransfer in andere außereuropäische Länder wie Indien [1]. Facebook benutzt Standardvertragsklauseln um Daten von der EU in die USA zu übermitteln [4]. Sollen personenbezogene Daten auf Grundlage von Standarddatenschutzklauseln in ein Drittland übertragen werden, liegt es in der Verantwortung des Dateexporteurs (z. B. einer Einrichtung, eines Unternehmens) zu überprüfen, ob das Datenschutzniveau in dem jeweiligen Drittland (z. B. USA) dem der DS-GVO entspricht und nicht von US-Recht beeinträchtigt wird [3, 6]. Kommt die Prüfung der Standarddatenschutzklauseln und der möglichen zusätzlichen Maßnahmen zu dem Ergebnis, dass das Schutzniveau nicht gewährleistet ist, muss Datentransfer beendet werden [6]. Die Übermittlung von Daten wäre auch möglich, wenn nach einer detaillierten Information von einzelnen Kunden die Einwilligung eingeholt wird [1].
Am 11. August 2020 meldete heise-online, dass der EU-Justizkommissar und der US-Handelsminister über eine Nachfolgeregelung für Privacy Shield verhandeln [5].
Wenn personenbezogenen Daten wie beispielsweise E-Mail-Adressen für den Newsletter-Versand auf einem Server eines nicht privilegierten Drittlandes gespeichert werden sollen, müssten sie sich davon überzeugen, dass das Schutzniveau in diesem Land ebenso hoch ist, wie es von der DS-GVO gefordert wird. Nach Ansicht der Diözesandatenschutzbeauftragten des Erzbistums Hamburg, der Bistümer Hildesheim, Osnabrück und des Bischöflich Münsterschen Offizialats in Vechta i.O. dürfte es schwer sein, sich davon zu überzeugen und auch vertraglich zu vereinbaren, dass das Datenschutzniveau in den USA auf einer Höhe mit der DS-GVO ist. Um die Rechtsunsicherheit zu umgehen, können Einrichtungen oder Unternehmen versuchen, Daten ausschließlich auf europäischen Servern, bzw. auf Servern von privilegierten Staaten zu speichern oder speichern zu lassen.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: EU-US Privacy Shield und Datenübermittlungen in die USA.
netzpolitik.org e. V.: EU-Gericht zerschlägt Privacy Shield.
Datenschutz in der katholischen Kirche: EuGH-Urteil vom 16. Juli 2020 (C-311/18).
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Zugriff am 6.8.2020
[1] Joerg Heidrich: Nach der Bombe. c’t magazin für computertechnik, S. 16-17, Ausgabe 17 vom 1.8.2020
[2] Deloitte Legal Rechtsanwaltsgesellschaft mbH: Safe-Harbor“-Urteil des EuGH. Zugriff am 7.8.2020
[3] Datenschutz in der katholischen Kirche: EuGH-Urteil vom 16. Juli 2020 (C-311/18). Zugriff am 7.8.2020
[4] ZEIT ONLINE (Hrsg.): "Facebook vs. Schrems": Was die EuGH-Entscheidung bedeutet. dpa Meldung vom 16. Juli 2020. Zugriff am 7.8.2020
[5] Heise Medien GmbH & Co. KG (Hrsg.) (2020): EU verhandelt mit USA über Nachfolgeregelung für Privacy Shield. Zugriff am 12.8.2020
[6]
European Data Protection Board (2020): Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 — Data Protection Commissioner gegen Facebook Ireland Ltd und
MaximillianSchrems (deutsch). Zugriff am 17.8.2020
Suche