Der EuGH entscheidet zum Datenschutzabkommen „Privacy Shield“
Der EuGH entscheidet zum Datenschutzabkommen „Privacy Shield“
In seinem Urteil vom 16.07.2020 – Aktenzeichen c-311/18 – hat der Europäische Gerichtshof den sog. Privacy Shield für ungültig erklärt. Die Entscheidung betrifft konkret die Daten von europäischen Nutzern von Facebook, hat aber letztendlich Auswirkungen auf den gesamten europäischen Datentransfer auf der Grundlage des Privacy Shield. Beim Privacy Shield handelt es sich um ein von der EU-Kommission im Jahr 2016 in Kraft gesetztes Datenschutzabkommen, unter dem sich US-Unternehmen zertifizieren lassen konnten, damit es Geschäftspartnern dieser Unternehmen aus der EU erlaubt war, personenbezogene Daten in die USA zu übermitteln.
Für europäische Unternehmen ist die Übermittlung von personenbezogenen Daten in Drittländer grundsätzlich nur erlaubt, wenn zum Schutz der Rechte von Betroffenen geeignete Garantien und durchsetzbare Rechte sowie wirksame Rechtsbehelfe zur Verfügung stehen, um einen Datenschutzstandart zu gewährleisten, der den Anforderungen der DSGVO entspricht.
Der EuGH hat nun festgestellt, dass die Zugriffsmöglichkeit von Nachrichtendiensten innerhalb der USA zu weitreichend ist um personenbezogenen Daten von europäischen Nutzern angemessen zu schützen und, dass in der EU keine ausreichenden Rechtsbehelfe gegen nachrichtendienstliche Überwachung in den USA vorhanden sind. Damit hat sich der EuGH der von Datenschützern am Privacy Shield seit jeher geäußerten Kritik angeschlossen.
Es stellt sich nun die Frage, wie zukünftig der Datentransfer von Europa in die USA bewerkstelligt werden kann. Ohne einen wirksamen Erlaubnismechanismus wäre die Datenübermittlung künftig rechtswidrig und unterliegt damit dem Bußgeldrahmen der DSGVO.
Möglichkeiten zur Datenübermittlung an Drittländer sieht Art. 46 DSGVO vor. Von den dort angebotenen Instrumentarien dürfte derzeit allein die Vereinbarung von durch die Kommission genehmigten Standartvertragsklauseln tatsächlich praktikabel sein, deren Wirksamkeit vom EuGH in der eingangs genannten Entscheidung ausdrücklich festgestellt wurde.
Im Zweifel sollten sich europäische Unternehmen, die Daten in die USA übermitteln, an ihre lokal zuständige Aufsichtsbehörde wenden, um dort eine Empfehlung einzuholen und Haftungsrisiken zu vermeiden.
Wenn Sie Fragen zu Ihrer konkreten Situation und Lösungsmöglichkeiten haben, können Sie sich gerne an GROSS Rechtsanwaltsgesellschaft mbH wenden.
Autor: GROSS Rechtsanwaltsgesellschaft mbH
Bildnachweis: Pixabay