{"id":958,"date":"2020-08-07T10:45:13","date_gmt":"2020-08-07T08:45:13","guid":{"rendered":"https:\/\/dsb.ruhr-uni-bochum.de\/?p=958"},"modified":"2020-08-07T10:45:13","modified_gmt":"2020-08-07T08:45:13","slug":"schrems-ii-der-eugh-entscheidet-ueber-die-rechtliche-zulaessigkeit-von-us-datentransfers","status":"publish","type":"post","link":"https:\/\/dsb.ruhr-uni-bochum.de\/en\/beitrag\/schrems-ii-der-eugh-entscheidet-ueber-die-rechtliche-zulaessigkeit-von-us-datentransfers\/","title":{"rendered":"Schrems II: Der EuGH entscheidet \u00fcber die rechtliche Zul\u00e4ssigkeit von US-Datentransfers"},"content":{"rendered":"Am 16.7.2020 hat der europ\u00e4ische Gerichtshof (EuGH) \u00fcber die Zul\u00e4ssigkeit von Datentransfers in die USA entschieden. Dieses Urteil hinterl\u00e4sst derzeit eine weitreichende rechtliche Unsicherheit, obwohl es eigentlich Kl\u00e4rung bringen sollte. Aber der Reihe nach.\n\nDas Urteil betrifft Datentransfers in die USA, f\u00fcr die komplexe Regelungen in der Datenschutz-Grundverordnung (DSGVO) getroffen wurden. Solche Datentransfers finden an Hochschulen z. B. bei der Benutzung von (Cloud-) Diensten der gro\u00dfen US-Anbieter statt. Es betrifft aber auch die Zusammenarbeit mit US-amerikanischen Forscher:innen oder Hochschulen.\n<h3>Von Schrems I zu Schrems II<\/h3>\nGeklagt hatte urspr\u00fcnglich Max Schrems und die Organisation NOYB gegen Facebook in Irland, um die Datentransfers von Facebook in die USA zu unterbinden. In Irland wurde dann die Frage an den EuGH gerichtet, ob das Privacy-Shield-Abkommen, das zwischen der EU und den USA Regelungen f\u00fcr die Datentransfers vereinbart, ausreichende rechtliche Garantien f\u00fcr EU B\u00fcrger gew\u00e4hrleistet. Nicht \u00fcberraschend kam die Feststellung, dass die Privacy-Shield-Vereinbarung hier nicht ausreichend ist. Mit Urteilsspruch wurden damit \u00dcbermittlungen die darauf basieren nicht weiter zul\u00e4ssig. Das wirkt sich in der Praxis allerdings zun\u00e4chst nur gering aus. Die Entscheidung wurde so bereits erwartet, da die Unterschiede zum vorherigen Abkommen namens \u201eSafe Harbour\u201c nur gering waren und dieses bereits 2015 mit dem Schrems-I-Urteil f\u00fcr unzul\u00e4ssig erkl\u00e4rt wurde. Wie bereits 2015 sind die Sicherheitsgesetze in den USA, hier konkret FISA 702 und EO 12333, und die daraus folgenden Eingriffe, wie Massen\u00fcberwachung und Datenzugriffe durch Beh\u00f6rden und Geheimdienste bei Nicht-US-B\u00fcrgern, ausschlaggebend.\n<h3>Privacy Shield nur im Doppelpack<\/h3>\nDie erwartete Aufhebung von Privacy Shield hat dazu gef\u00fchrt, dass bei den meisten gro\u00dfen IT Konzernen bereits seit 2016 die Legitimierung der \u00dcbermittlungen auch auf der Basis von vertraglichen Vereinbarungen rechtlich abgesichert wurde, \u00fcber die sogenannte Standardvertragsklauseln (SCC). Diese Klauseln hat, wie auch das Privacy-Shield-Abkommen, die EU-Kommission zur Vereinfachung und Vereinheitlichung von internationalen Datentransfers ausgehandelt. Die Klauseln sind 2010 vereinbart worden und finden auch bei \u00dcbermittlungen in andere Staaten Anwendung, die kein der EU vergleichbares Datenschutzniveau auf gesetzlicher Basis bieten, z. B. Indien oder Mexiko. Auch die SCC werden bereits seit l\u00e4ngerem kritisiert. Neben der Privacy-Shield-Zertifizierung wurden zuletzt also viele \u00dcbermittlungen zus\u00e4tzlich auf diese Basis gestellt, um der erwartbaren Entscheidung zur Ung\u00fcltigkeit des Privacy-Shield-Abkommens zu begegnen.\n<h3>Wie weiter?<\/h3>\nDas aktuelle Urteil erh\u00e4lt nun aber weitere ernsthafte Brisanz, weil auch Aussagen zu den Standardvertragsklauseln getroffen werden. Die Sicherheit der Verarbeitung muss mit ausreichenden Garantien belegt sein \u2013 im Fall von Privacy Shield hat der EuGH diese in den USA verneint. F\u00fcr die Standardvertragsklauseln werden zus\u00e4tzliche etwas unklare Anforderungen formuliert. In der Folge k\u00f6nnen, so wird bereits diskutiert, s\u00e4mtliche derzeitigen regelm\u00e4\u00dfigen \u00dcbermittlungen in die USA datenschutzrechtlich unzul\u00e4ssig sein. Derzeit fehlen vor allem konkreten Alternativen, um dem zum Begegnen. Am Zug ist jetzt die EU-Kommission. Sie muss f\u00fcr die EU eine tragf\u00e4hige L\u00f6sung anbieten, die auch eine dauerhafte Verl\u00e4sslichkeit gew\u00e4hrleistet. Ein Abkommen namens \u201eSafe Shield\u201c oder \u201ePrivacy Harbour\u201c wird der EuGH sicher nicht akzeptieren.\n<h3>Was sagen die Aufsichtsbeh\u00f6rden?<\/h3>\nDie Datenschutzaufsichtsbeh\u00f6rden in Deutschland verhalten sich bereits sehr unterschiedlich, einige wenige drohen bereits, andere setzen zun\u00e4chst auf sorgf\u00e4ltige Analysen. Diese Analysen d\u00fcrften auch zu gemeinsamen Positionen der Datenschutzaufsicht in Europa f\u00fchren. Der europ\u00e4ische Datenschutzausschuss (EDSA), das gemeinsame Gremium der alle 27 Datenschutzaufsichtsbeh\u00f6rden in der EU, hat sich bereits in einem ersten FAQ dem Urteil angenommen. Wie sich die Aufsichtsbeh\u00f6rden im Einzelfall gegen\u00fcber den Verantwortlichen verhalten werden, ist noch unklar.\n<h3>Was nun?<\/h3>\nDie Schuld f\u00fcr diese rechtliche Situation liegt klar bei der EU-Kommission, die ihren Auftrag, die Rahmenbedingungen f\u00fcr freien wirtschaftlichen Austausch und damit auch Datenverkehr zu schaffen, hier nicht ausreichend erf\u00fcllt hat. Dennoch werden auch den Verarbeitern, wie beispielsweise den Hochschulen, Handlungen abverlangt. Wie diese Handlungen konkret aussehen m\u00fcssen, was m\u00f6glicherweise zul\u00e4ssig bleiben kann und was nicht, wird sich erst nach einem gewissen juristischen Meinungsfindungsprozess herausbilden. F\u00fcr Unternehmen, die als Vertragspartner der Hochschulen Daten verarbeiten, besteht nun der Auftrag aus dem Urteil, Schutz \u00fcber technisch-organisatorische Ma\u00dfnahmen sicherzustellen und zu dokumentieren. Nicht zuletzt sind die Positionen und Empfehlungen der Aufsichtsbeh\u00f6rden, insbesondere die Position der Landesbeauftragten in NRW, die f\u00fcr die Hochschulen in NRW zust\u00e4ndig ist, f\u00fcr die direkt erforderlichen n\u00e4chsten Schritte wesentlich. Die Bewertung des Urteils ist auch hier auch nach Aussage des europ\u00e4ischen Datenschutzausschusses noch nicht abgeschlossen.","protected":false},"excerpt":{"rendered":"Am 16.7.2020 hat der europ\u00e4ische Gerichtshof (EuGH) \u00fcber die Zul\u00e4ssigkeit von Datentransfers in die USA entschieden. Dieses Urteil hinterl\u00e4sst derzeit eine weitreichende rechtliche Unsicherheit, obwohl es eigentlich Kl\u00e4rung bringen sollte. Aber der Reihe nach. Das Urteil betrifft Datentransfers in die USA, f\u00fcr die komplexe Regelungen in der Datenschutz-Grundverordnung (DSGVO) getroffen wurden. Solche Datentransfers finden an [&hellip;]","protected":false},"author":5,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,8],"tags":[],"class_list":["post-958","post","type-post","status-publish","format-standard","hentry","category-datenschutz","category-recht"],"_links":{"self":[{"href":"https:\/\/dsb.ruhr-uni-bochum.de\/en\/wp-json\/wp\/v2\/posts\/958","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dsb.ruhr-uni-bochum.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dsb.ruhr-uni-bochum.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dsb.ruhr-uni-bochum.de\/en\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/dsb.ruhr-uni-bochum.de\/en\/wp-json\/wp\/v2\/comments?post=958"}],"version-history":[{"count":0,"href":"https:\/\/dsb.ruhr-uni-bochum.de\/en\/wp-json\/wp\/v2\/posts\/958\/revisions"}],"wp:attachment":[{"href":"https:\/\/dsb.ruhr-uni-bochum.de\/en\/wp-json\/wp\/v2\/media?parent=958"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dsb.ruhr-uni-bochum.de\/en\/wp-json\/wp\/v2\/categories?post=958"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dsb.ruhr-uni-bochum.de\/en\/wp-json\/wp\/v2\/tags?post=958"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}