Aufhebung des Privacy Shield durch den EuGH: Welche Auswirkungen hat dies für Schweizer Unternehmen?

Der EuGH hat das Privacy Shield Abkommen als unwirksam eingestuft. Damit kann eine Weitergabe von personenbezogenen Daten unter der DSGVO in die USA im Normalfall nur noch mit sogenannten Standardvertragsklauseln erfolgen, die im Einzelfall vertraglich vereinbart werden müssen. Finde im nachfolgenden Beitrag heraus, welche Auswirkungen dies für Schweizer Unternehmen hat.

Ausgangslage nach dem Urteil Schrems II (C-311/18)

Der Europäische Gerichtshof hat im genannten URTEIL VOM 16. JULI 2020 entschieden, dass das Privacy Shield-Abkommen zwischen der EU und den USA für den Anwendungsbereich der DSGVO nichtig ist. Das Pricavy Shield-Abkommen ist somit per sofort ausser Kraft gesetzt. Standardvertragsklauseln sollen aber weiterhin gelten.

Der Gerichtshof begründet die Nichtigkeit mit den Zugriffsmöglichkeiten der US-Behörden auf Daten, welche von der EU in die USA exportiert werden. Zudem bestünden in den USA keine ausreichenden Rechtsbehelfe, welche bei Datenschutzverletzungen korrigierend einschreiten könnten.

Aufgrund des Privacy Shield Abkommens ist man bis jetzt davon ausgegangen, dass für Unternehmen, welche dem Privacy Shield unterstellt sind, die Angemessenheit des Datenschutzes zur DSGVO sichergestellt ist und damit die Weitergabe von personenbezogenen Daten grundsätzlich zulässig ist.

 

Welche Auswirkungen hat dieses Urteil unter dem Anwendungsbereich der DSGVO?

Da der Datenexport von der EU in die USA nicht mehr geregelt ist, sind Datenexporte ohne Standardvertragsklauseln oder expliziter Einwilligung der Betroffenen per sofort nicht mehr zulässig. Dies führt dazu, dass ein grosser Teil der momentan laufenden Datenexporte in die USA rechtswidrig ist. Entsprechende Verträge müssen daher überprüft werden und in den meisten Fällen um Standardklauseln ergänzt werden.

Künftig werden die Vertragsparteien Standardvertragsklauseln in ihre Verträge noch gezielter auf den Einzelfall anzupassen müssen, als es bisher der Fall war.

 

Welche Auswirkungen hat das Urteil auf Schweizer Unternehmen?

Sofern für ein Schweizer Unternehmen die DSGVO anwendbar ist (beispielsweise weil sich das Angebot an Kunden im EU-Raum richtet), gelten die genannten Grundsätze für die EU-Kunden ebenfalls.

Für das Schweizer DSG ist das EuGH Urteil nicht direkt anwendbar. Das Privacy Shield Abkommen zwischen der Schweiz und den USA ist davon nicht betroffen. Dennoch ist es möglich, dass auch der Eidgenössische Datenschutzbeauftragte die Angemessenheit des US-Datenschutzes nochmals überprüft. Da in der Schweiz andere Standards als in der EU gelten, ist nicht zwingend notwendig, dass der Datenschutzbeauftragte zum gleichen Ergebnis kommt.

 

Relevanz für den Angemessenheitsentscheid der EU zum schweizerischen Datenschutzgesetz?

Der EuGH konkretisiert in seinem Urteil die Anforderungen der EU an einen Angemessenheitsbeschluss. Da die EU in den nächsten Monaten über die Angemessenheit des Entwurfes des neuen Schweizerischen Datenschutzgesetzes entscheidet, wird dieses Urteil für die Schweiz ebenfalls relevant sein.

Mehr Informationen zum Thema Datenschutz.

IT- und Technologierecht

Rechtsstreitigkeiten in der IT: Tipps für Unternehmen zur Risikominimierung

Arbeitsrecht

Die verschiedenen Arbeitszeitmodelle im Überblick

IT- und Technologierecht

KI-Dienste: Haftung, Verträge, Datenschutz und Co.

Datenschutz

1 Jahr neues Datenschutzgesetz

Datenschutz

Google Consent – Kommt die Pflicht zum Cookie-Banner?

Arbeitsrecht

Homeoffice IV

optional
optional
optional