EuGH kippt „Privacy Shield”: Folgen für Unternehmen

Das Urteil des europäischen Gerichtshofs (EuGH) vom 16.7.2020 (Az C-311/18) hat hohe Wellen geschlagen. EuGH kippt „Privacy Shield”. Wir fassen zusammen, was Unternehmer wissen müssen.

Nach dem Urteil herrscht erst einmal Unklarheit, was die Situation nun bedeutet. Im Folgenden versuchen wir, für Klarheit zu sorgen.

Was ist der „Privacy Shield”?

Bislang gab es einen Beschluss zwischen der Europäischen Union und den USA, dass die personenbezogenen Daten von Kunden in der EU an Unternehmen in den USA weitergegeben werden durften.

Dieser als „Privacy-Shield“ bezeichnete Beschluss basierte auf der Annahme, dass die Daten der europäischen Kunden in den USA angemessenen Schutz – entsprechend der EU-Standards – genießen.

Klage gegen „Privacy Shield” erfolgreich

Nun hatte ein Kläger beantragt, diese Regelung für unwirksam zu erklären, weil der angemessene Schutz der personenbezogenen Daten in den USA eben nicht sichergestellt sei.

Er argumentierte damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI Daten zugänglich zu machen, ohne dass der Betroffene eine Möglichkeit hat, dagegen vorzugehen. Der EuGH gab dem Kläger recht und urteilte, dass der „Privacy-Shield-Beschluss“ unwirksam sei.

EuGH kippt „Privacy Shield”: die Folgen für Unternehmen

Das Urteil des EuGH ist sicher zu begrüßen. Es zeigt, dass die Europäische Union den Schutz der personenbezogenen Daten ihrer Mitbürger sehr ernst nimmt und sich selbstbewusst gegenüber den USA positioniert.

Für die europäischen Unternehmen, die auf den Austausch von personenbezogenen Daten zwischen Europa und den USA für ihr Geschäftsmodell angewiesen sind, hat das Urteil des EuGH zunächst einmal jedoch fatale Folgen: Die Unternehmen in Deutschland benutzen derzeit in der Regel Erklärungen zum Datenschutz und verweisen darin bezüglich des Datentransfers an Drittstaaten auf Standardvertragsklauseln der EU. Das ist so pauschal nach dem Urteil des EuGH nun nicht mehr möglich.

EuGH kippt „Privacy Shield”: So sollten Unternehmen jetzt reagieren

Die Unternehmen müssen zumindest einen Zusatz aufnehmen, wonach sie im Einzelfall prüfen, ob das Datenschutzniveau im Empfängerland auch gesichert ist. Die derzeit genutzten Datenschutzvereinbarungen müssen also abgeändert werden.

Unternehmen sollten bei ihrer Verfahrensdokumentation Datenschutz- und Aufbewahrungsregelungen im Blick haben

Das ist vielleicht ein guter Anlass, die genutzten Regelungen zum Datenschutz noch einmal auf den Prüfstand zu stellen. Denn wir stellen im Rahmen der Erstellung von Verfahrensdokumentationen der Unternehmen häufig fest, dass diese die Datenschutzregelungen mitunter nicht in ausreichendem Maße umgesetzt haben.

Zudem müssen Unternehmen beachten, dass sie nach den Vorschriften der Abgabenordnung (§ 146 Abs. 2 AO) ihre Bücher und sonst erforderliche Aufzeichnung inklusive der Archivierung von Rechnungen in Deutschland aufzubewahren haben. In der Praxis kommt es aber häufig vor, dass Unternehmen Daten des Rechnungswesens und Belege auf Servern im Ausland aufbewahren und archivieren. Dies ist jedoch nur unter bestimmten Voraussetzungen zulässig. Insbesondere nur dann, wenn dies beim Finanzamt schriftlich beantragt wurde und das Finanzamt diesen Antrag bewilligt hat (§ 146 Abs. 2a AO).

Wir empfehlen Unternehmen, diese Regelungen unbedingt im Blick zu haben und aus steuerlicher Sicht einen entsprechenden Antrag gemäß § 146 Absatz 2a AO zu stellen.