27. Juli 2020

###USER_briefanrede###

mit seinem Urteil vom 16.07.2020 hat der Europäische Gerichtshof (EuGH) für einen Paukenschlag gesorgt, als er feststellte, dass der zwischen der EU und den USA ausgehandelte „Privacy Shield“ kein angemessenes Schutzniveau für die Übermittlung der Daten von der EU in die USA bildet. VDR-Justiziar Dieter Koeve erläutert, welche Folgen das Urteil für das Travel Management und die Geschäftsreise hat.
 
Der damalige Beschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016, mit dem das durch das EU-Privacy-Shield gewährte Schutzniveau als angemessen im Sinne des in der EU geltenden Datenschutzes festgestellt wurde, ist nach dem Urteil ungültig. Eine Übermittlung von Daten in die USA, die sich auf das EU-Privacy-Shield stützt, ist ab der Veröffentlichung des Urteils am 16.07.2020 unzulässig.

Damit wird den mehr als 5.300 Unternehmen bei https://www.privacyshield.gov/list registrierten Unternehmen als Auftragsverarbeiter die Rechtsgrundlage zur Übermittlung und Empfang der Daten entzogen.

Wie hat der EuGH sein Urteil begründet?

  1. Daten, die in die USA übermittelt werden und von den dortigen Behörden für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können, unterliegen grundsätzlich dem Bereich der DSGVO.
  2.  Standardvertragsklauseln, die als Rechtsgrundlage für die Übermittlung von Daten in die USA dienen, wie sie in dem Beschluss 2010/87/EU vom 05.02.2010 geregelt sind, können weiterhin verwendet werden, wenn das Schutzniveau der DSGVO bei und nach der Übermittlung durch den in den USA ansässigen Auftragsverarbeiter garantiert werden kann. Im Klartext bedeutet dies: Die Aufsichtsbehörden werden darauf drängen, die Standardvertragsklauseln im Sinne des Urteils anzupassen.  Es ist allerdings zu erwarten, dass die Auftragsverarbeiter das DSGVO-Schutzniveau wegen der weitreichenden Befugnisse der US-amerikanischen Behörden nach der Section 702 des Foreign Intelligence Surveillance Act (FISA) nicht garantieren können. Eine Übermittlung der Daten in die USA ist damit unzulässig.
  3. Nach dem Urteil des EuGHs sind die nationalen Behörden gem. Art. 58 Abs. 2 f) und j) DSGVO auch in diesen Fällen sogar verpflichtet, den Datenverkehr mit den USA auszusetzen oder zu verbieten (Rn. 122 des Urteils) und hohe Bußgelder im Falle einer Verletzung zu verhängen. 
  4. Der EuGH stärkt auch die Rechte der nationalen Aufsichtsbehörden. Unabhängig von einem (zukünftigen) neuen Angemessenheitsbeschluss der Kommission haben die nationalen Aufsichtsbehörden in völliger Unabhängigkeit das Recht zu prüfen, ob bei der Übermittlung von Daten, die sich auf einen Angemessenheitsbeschluss stützen, das Schutzniveau der DSGVO eingehalten wird. Zwar ist die nationale Aufsichtsbehörde an den Angemessenheitsbeschluss der Kommission gebunden und kann eine Übermittlung auf dieser Grundlage nicht untersagen. Sie kann aber Klage vor den nationalen Gerichten zur Feststellung der Unangemessenheit erheben, was faktisch die Kommission zum Spielball der nationalen Aufsichtsbehörden werden lässt.

Was bedeutet das Urteil für Geschäftsreisen und was ist zu tun?

  1. Zuallererst ist zu prüfen, ob es Datenprozesse mit den USA gibt, die allein auf dem EU-Privacy-Shield beruhen. Dies ist im Rahmen des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO die Pflicht eines jeden Verantwortlichen. Ist dies der Fall, ist die Übermittlung unverzüglich einzustellen und Alternativen zu prüfen, wie das Umstellen der Datenprozesse mit einem Verbleib in der EU bewerkstelligt werden kann. Zu beachten ist in diesem Zusammenhang, dass Google und Facebook und viele andere Unternehmen im Hintergrund das Tracking auf ihren Websites mit einem Upload in die USA verbinden. Auf Tracking Tools und Like-Buttons sollte daher derzeit verzichtet werden.
  2. Werden neben dem EU-Privacy-Shield auch Standardvertragsklauseln eingesetzt oder müssen diese als Alternative hierzu vereinbart werden, ist im Sinne des EuGH-Urteil zu prüfen, ob das Schutzniveau eingehalten werden kann. Anderenfalls hat der Datenverkehr ebenfalls zu unterbleiben. Zum Beispiel könnten die Standardvertragsklauseln dahingehend ergänzt werden, dass Anfragen von US-Behörden gegenüber dem Verantwortlichen offen zu legen sind, damit er in solchen Fällen reagieren und unter Umständen seine Mitarbeiter hiervon unterrichten kann. Es sollte auch geprüft werden, sich gem. Art. 47 DSGVO die sog. Binding Corporate Rules von den nationalen Aufsichtsbehörden genehmigen zu lassen. Dies ist jedoch mit einem langen und umständlichen Prozess verbunden. 
  3. Als wichtigste und sofort zu ergreifende Maßnahme ist gem. Art. 49 Abs. 1 a) DSGVO die Einwilligung des betroffenen Mitarbeiters mit einer entsprechenden Datenschutzerklärung einzuholen. Alternativ ist die Übermittlung von Daten auf Art. 49 Abs. 1 c) DSGVO zu stützen, wonach diese … für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen … erforderlich (ist), namentlich die Geschäftsreise im Rahmen des Arbeitsvertrages. Dies setzt jedoch eine entsprechende Datenschutzerklärung voraus. Diese Rechtsgrundlage stellt aber nur einen vorübergehenden Behelf für den Einzelfall dar und kann nicht für die regelmäßige Übermittlung von Daten in die USA herangezogen werden.

Weitere Informationen zum Thema Datenschutz finden Sie auf unserer Themenseite.

Freundliche Grüße

Marijke Pfundstein Unterschrift | VDR
Marijke Pfundstein
………………………………………………………………………………

Referentin Mitgliederservice

Verband Deutsches Reisemanagement e.V.  |  VDR Service GmbH
Darmstädter Landstraße 125 | 60598 Frankfurt/Main
Tel. +49 69 695229 25
mitgliederservice@vdr-service.de | www.vdr-service.de

  
  

Verband Deutsches Reisemanagement e.V. (VDR)

Darmstädter Landstraße 125, 60598 Frankfurt am Main
Tel. 069 695229 25, E-Mail info@vdr-service.de
Internet: www.vdr-service.de