Der EuGH hat mit dem “Privacy-Shield” die für Unternehmen verlässlichste Grundlage für Datentransfers zwischen der EU und den USA für unwirksam erklärt (EuGH, 16.7.2020 – C-311/18 “Schrems II”, Pressemitteilung).
Der Privacy-Shield basierte auf der Annahme der EU-Kommission, dass in den USA ein angemessenes Datenschutzniveau herrscht. Denn nur dann erlaubt die DSGVO einen Datentransfer in die USA.
Der EuGH erklärte der EU-Kommission jedoch, dass in den USA ein angemessenes Datenschutzniveau anzunehmen, so ziemlich das Gegenteil der faktischen Zustände ist. Genaugenommen werden die Grundrechte der EU-Bürger auf Privatleben, Datenschutz und auf einen wirksamen Rechtsbehelf entkernt.
Doch was passiert als nächstes? Entsteht ein EU-Internet mit einem EU-Google und EU-Facebook? Werden die USA einlenken und deren Datenschutzstandard erhöhen? Werden die EU-Datenschutzbehörden durchgreifen und die Datentransfers in die USA verbieten? Oder kommt ein neuer Privacy Shield, bis der EuGH ihn ebenso und wie auch den Vorgänger „Safe Harbor“ zuvor verwirft?
Als Gast freuen wir uns erneut Dr. Malte Engeler begrüßen zu können. Er findet klare Worte für die Folgen des EuGH-Urteils, auch wenn er selbst keinen Gefallen an der von ihm erwarteten Entwicklung findet.
Unterstützt werden wir von unserem Gast, Dr. Malte Engeler (Betreiber des Technikblogs deathmetalmods.de und der Mastodon-Instanz legal.social), derzeit als Richter am Verwaltungsgericht Schleswig tätig und zuvor als stellvertretender Leiter des aufsichtsbehördlichen Bereichs am Unabhängigen Landeszentrum für Datenschutz (ULD) in Schleswig Holstein. Twitter Privat, Twitter Deathmetalmods, Mastodon: legal.social/@malteengeler.
Wir wünschen Ihnen viel Vergnügen mit der neuen Folge, freuen uns über Bewertungen und Ihre Kommentare mit Vorschlägen für den möglichen Nachfolger des Privacy Shield ( „Privacy Shield reloaded„, „Trustful Privacy Harbor„, etc. )?
Kapitel
- 00:00:00 – Vorstellung des Themas und unseres Gastes Dr. Malte Engeler
- 00:04:15 – Was war der Privacy Shield?
- 00:10:20 – Warum hat der EuGH den Privacy Shield aufgehoben?
- 00:15:00 – Was sind Standardvertragsklauseln und sind sie eine Alternative zum Privacy Shield?
- 00:20:00 – Wie geht es nun weiter, wo die Wirtschaft auf die Datenflüsse zwischen der EU und den USA angewiesen ist?
- 00:26:00 – Ist eine Einwilligung eine Lösung… und überhaupt möglich?
- 00:30:00 – Wäre ein Opt-In per Cookie-Banner eine Idee?
- 00:32:00 – Kommt ein neuer Privacy Shield?
- 00:40:00 – Werden die Datenschutzbehörden den gordischen Knoten lösen?
- 00:48:00 – Gilt das Besprochene auch für Privatpersonen?
Links zur Folge
- Urteil des EuGH, 16.7.2020, Az. C-311/18 „Schrems II“.
- „Der EuGH könnte seinen Hebel überschätzen“ – Stellungnahme Landesdatenschutzbeauftragten Brink in der FAZ.
- Stellungnahme Europäischer Datenschutzausschusses.
- Stellungnahme Datenschutzaufsicht Irland.
- Stellungnahme Berliner Datenschutzaufsicht.
- Stellungnahme der Hamburger Datenschutzaufsicht.
- FAQ der Datenschutzaufsicht Rheinland-Pfalz.
- EuGH, Urteil v. 07.10.2015, Az. C‑362/14 „Schrems I“.
- „EuGH hebt den Privacy Shield auf: Und jetzt?“ in der LTO.
- „EuGH: EU/US-Privacy Shield ist unwirksam – Was Unternehmen jetzt wissen müssen“ von Dr. Schwenke.
- Safe Harbor und Datentransfers – Rechtsbelehrung Folge 30.
TheTomas
20. Juli 2020 at 12:38Mal laut gefragt: Wenn die Zustimmung der Datenverarbeitung in den USA nun in die AGBs, Opt-In‘s oder informierte Zustimmungen rutscht. Ist das ganze nicht sittenwidrig? Kann man sein Wahlrecht, Grund- oder Menschenrechte vertraglich abtreten? Ich finde nicht.
Wettangebot für einen neuen Namen: Forever Unified Conveant Key Agreements,
abgekürzt… FUCK-Agreements
🙂
Jens B.
21. Juli 2020 at 10:43Ich denke es wird (in nächster Zeit) zu keiner neue Vereinbarung zwischen EU-Kommission u. USA kommen. Monsieur Trump u. Lakaien interessiert das gerade mal n Koffer. Vielleicht erläßt er ja auch eine Executive Order, die die USA vor den Daten der EU schützen soll?! Heisst dann „Domestic Data Protection Act Makes America Great Again“, abgekürzt DORK.
Michael D.
22. Juli 2020 at 15:26Hallo, erstmal ein großes + von mir für das spannende und informative Format – hebt sich wohltuend von vielen sonstigen „Belehrungen“ ab. Ich komme wieder…
Zwei Fragen bleiben mir aber heute noch:
Inwieweit hilft es tatsächlich, auf EU-Rechenzentren von US-Anbietern auszuweichen? Hebeln in diesem Fall nicht auch US-Gesetze wie Patriot Act, Cloud Act den vom EUGH eingeforderten Grundrechtsschutz aus?
Kann und inwieweit kann eine dem Stand der Technik entsprechende Verschlüsselung von Daten, die in den USA gespeichert werden sollen (durch den Verantwortlichen selbst) das Risiko für die Rechte der Betroffenen soweit senken, dass eine Übermittlung/Verarbeitung in die/den USA doch mittels SCC zu rechtfertigen wäre? (Datenschutz durch Technik)
Viele Grüße
Michael D.
Mirko Herrmann
23. Juli 2020 at 11:35Vielen Dank für diesen Podcast – sehr informativ und ausgewogen. Einen wesentlichen Aspekt habt Ihr nicht besprochen: Den Unternehmen geht Facebook mehr oder weniger am Allerwertesten vorbei – hier geht es um SaaS. Praktisch betrachtet mangelt es schlicht und ergreifend an EU-basierten Alternativen. Hier sollten Unternehmen und Politik eine Taskforce bilden, um marktfähige Alternativen zu amerikanischen Anbietern zu stärken / zu entwickeln. Getreu dem Motto: FCK the US ;).