Zum Inhalt springen
Home » Datenschutz-News » EuGH kassiert „PRIVACY SHIELD“

EuGH kassiert „PRIVACY SHIELD“

Der Europäische Gerichtshof (EuGH) in Luxemburg hat die bestehende Datenschutzvereinbarung, die bislang zwischen den USA und der EU bestanden hat, gekippt (Urteil in der Rechtssache C-311/18). Der sog. EU-US -Privacy -Shield“, dessen Einhaltung für ein angemessenes Datenschutzniveau speziell in den USA sorgen sollte, ist damit obsolet.

Was war passiert?

Der österreichische Datenschutzaktivist Max Schrems, der seit 2008 Facebook-Nutzer ist, hatte sich wiederholt gegen die Übermittlungen seiner personenbezogenen Daten ganz oder teilweise von der Facebook Ireland an Server der Facebook Inc., die sich in den USA befinden, gewandt. Recht und Praxis der USA böten keinen ausreichenden Schutz, die dorthin übermittelten Daten vor dem Zugriff der Behörden, insbesondere Geheimdienste. Schrems beantragte, die von Facebook Ireland auf der Grundlage der Standardvertragsklauseln vorgenommene Übermittlung seiner personenbezogenen Daten aus der Union in die USA für die Zukunft auszusetzen oder zu verbieten.

unzureichenden Rechtsschutz gegenüber US-Sicherheitsbehörde

Bereits der Generalanwalt des EuGH hatte einen nur unzureichenden Rechtsschutz gegenüber den US-Sicherheitsbehörden festgestellt. Darüber hatten wir bereits in unserem Beitrag https://www.rmprivacy.de/schrems-ii-oder-das-ende-des-transatlantischen-datenverkehrs/ hingewiesen.

Die Luxemburger Richter kommen jetzt ebenfalls zu dem Ergebnis, dass die im Rahmen des Beschlusses der EU- Kommission zum EU- US -Privacy Shield bewerteten Einschränkungen des Schutzes personenbezogener Daten unverhältnismäßig sind und damit kein angemessenes Datenschutzniveau in den USA herrscht. US-Geheimdienste können jederzeit auf die Daten, die aus der EU kommen, zugreifen und diese auch nutzen.

Zu den Standartschutzklauseln

Was die Standartschutzklauseln betrifft, auf die auch eine Datenübermittlung in ein Drittland gestützt werden kann, so bleiben diese weiterhin bestehen. Derjenige, der personenbezogene Daten von EU-Bürgern, bspw. in den USA weiterleitet oder dort verarbeiten lässt, muss jedoch prüfen, ob die Vertragsklauseln auch eingehalten werden. Werden die Standardvertragsklauseln in der Praxis nicht eingehalten, muss am Ende die zuständige Aufsichtsbehörde den Datenaustausch vorübergehend oder auf Dauer suspendieren. Datenexporteur und der Empfänger der Übermittlung müssen laut EuGH vorab prüfen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird. Der Empfänger muss dem Datenexporteur gegebenenfalls mitteilen, dass er die Standardschutzklauseln nicht einhalten kann. Geschieht dies, muss der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten.

Was müssen Unternehmen beachten?

Unternehmen sollten zunächst prüfen, bei welcher Datenverarbeitung eine Übermittlung in die USA stattfindet.

  • Eine Übermittlungen personenbezogener Daten auf Grundlage des EU-US-Privacy Shields ist rechtswidrig!
  • Es gilbt keine Übergangsfrist.
  • In jedem Fall sind die Datenschutzerklärungen entsprechend anzupassen.
  • Es sollte eine Umstellung auf andere Transferinstrumente erfolgen.
    • Eine Zulässige Datenübermittlung in die USA könnte z.B. auf eine Einwilligung der betroffenen Person gestützt werden oder, wenn die Datenübermittlung notwendig ist, etwa zur Erfüllung eines Vertrages.
    • Gleichfalls kann unter den genannten Voraussetzungen auf die Standartschutzklauseln zurückgegriffen werden.

Hier liegt es an der Politik, schnell eine Lösung zu finden. Auch stellt sich die Frage, wie die Aufsichtsbehörden mit dem Urteil umgehen werden.

Wie und ob weitere Prozesse in diesem Zusammenhang anzupassen sind, bleibt abzuwarten.

Weitere Informationen zu dem Thema:

https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf

Bildernachweis für diesen Beitrag © pixs:sell- stock. adobe. com