EuGH kippt Privacy Shield

Der Europäische Gerichtshof (EuGH) hat am Donnerstag, dem 16. Juli 2020 das EU-US-Datenschutzschild („Privacy Shield“) für ungültig erklärt, weil die USA keinen ausreichenden Schutz der aus der EU dorthin übermittelten personenbezogenen Daten gewährleistet.

Der Datenschutzschild sollte den Schutz personenbezogener Daten gewährleisten, die aus der europäischen Union in die USA übertragen werden, und so einen unkomplizierten Datentransfer ermöglichen. Grundlage des Datenschutzschilds war ein Angemessenheitsbeschluss der EU-Kommission vom 12. Juli 2016, wonach die Vorgaben des Datenschutzschilds dem europäischen Datenschutzniveau entsprechen. Vor dem Datenschutzschild wurde der Schutz der übermittelten Daten durch das Safe-Harbor-Abkommen geregelt. Weil dieses den US-amerikanischen Sicherheitsbehörden einen umfassenden Zugriff auf personenbezogene Daten aus den europäischen Mitgliedstaaten gewährte, wurde es durch den EuGH im Jahr 2015 gestoppt.

Wie der EuGH am 16. Juli 2020 entschieden hat, verbleibt auch der Datenschutzschild weit hinter dem Datenschutzniveau der EU. Nach der DSGVO dürfen personenbezogene Daten nur übermittelt werden, wenn das Empfängerland ein angemessenes Schutzniveau für die Daten gewährleistet. Der Datenschutzschild aber räumt den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang vor dem Schutz personenbezogener Daten aus europäischen Mitgliedstaaten ein. Beispielsweise dürfen die an Facebook übermittelten Daten ausgehend von der amerikanischen Rechtslage durch Überwachungsprogramme des FBI oder der NSA ausgewertet werden. Dies stellt ausgehend von der europäischen Rechtslage massive Grundrechtseingriffe dar, welche in jeder Hinsicht unverhältnismäßig sind. Dazu kommt, dass den Betroffenen kein Rechtsweg offensteht, um diese Verwendung ihrer Daten zu unterbinden.

Problematisch ist die Entscheidung des EuGHs für Unternehmen, die auf den Austausch personenbezogener Daten, beispielsweise zwischen verschiedenen Standorten, angewiesen sind und sich bisher auf den Datenschutzschild verlassen haben. Aufgrund der Ungültigkeit des Datenschutzschilds unterliegt die Datenübertragung personenbezogener Daten in die USA nun denselben Regeln wie die Datenübertragung in jedes andere Land. Notwendige Datentransfers dürfen nach Maßgabe des Art. 49 DSGVO zwar weiterhin erfolgen. Erforderlich ist für derartige Unternehmen deshalb dringend, eine alternative Grundlage für die Datenübertragung zu schaffen.

Diesbezüglich hat der EuGH hat in dem Urteil entschieden, dass die von der EU-Kommission im Jahr 2010 genehmigten Standardvertragsklauseln eine geeignete Grundlage für die Übermittlung personenbezogener Daten in Drittländer darstellen können. Die Datenschutzbehörden müssen eine Übermittlung der Daten allerdings dann verbieten, wenn nicht davon ausgegangen werden kann, dass das Empfängerland das von den Klauseln geforderte Datenschutzniveau einhalten kann. Durch die Entscheidung wird bezüglich der Standardvertragsklauseln erhebliche Rechtsunsicherheit geschaffen, da die Unternehmen ein Einschreiten der Datenschutzbehörden zu keinem Zeitpunkt ausschließen können.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.