EuGH: EU-US Privacy Shield unwirksam

Der Europäische Gerichtshof (EuGH) hat am 16.07.2020 auf Vorlage des irischen High Courts in der Rechtssache C-311/18 („Schrems II“) das bereits seit langem umstrittene EU-US Privacy Shield gekippt – was erhebliche Auswirkungen auf die Datenschutzpraxis haben wird!

Bei dem EU-US Privacy Shield handelt es sich um eine Absprache zwischen der EU und den USA über den Umgang mit aus dem EU-Raum in die USA übermittelten Daten. Er gibt einen Rahmen vor, nach dem für Unternehmen, die sich ihm unterwerfen, eine Datenübermittlung in Länder außerhalb der EU nach den Art. 44 ff. DS-GVO zulässig ist.

In seiner Entscheidung stellte der EuGH dass der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes ungültig ist . Vor diesem Hintergrund verlangen die Luxemburger Richter, dass nunmehr im Einzelfall geprüft werden muss, ob die jeweilige nationale Gesetzgebung im Drittstaat eine angemessene Sicherheit auch im Hinblick auf die abgeschlossenen Standarddatenschutzklauseln bietet.

Im Beschluss zu den EU-Standardvertragsklauseln konnte der EuGH gleichwohl keine Anhaltspunkte für eine Unwirksamkeit finden: „Die Prüfung des Beschlusses 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates in der durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 geänderten Fassung anhand der Art. 7, 8 und 47 der Charta der Grundrechte hat nichts ergeben, was seine Gültigkeit berühren könnte.“

 

Auswirkungen auf die Datenschutzpraxis

Die Entscheidung des EuGH hat Auswirkungen für alle Unternehmen, die personenbezogene Daten in die USA übermitteln. Das betrifft vor allem Datenübermittlungen, die ausschließlich auf Grundlage des EU-US Privacy Shield und ohne Verwendung entsprechender EU-Standard-Datenschutzklauseln erfolgen. Ein Datenverkehr, der sich allein auf das EU-US Privacy Shield stützt, ist fortan unzulässig.

Das Urteil muss aber gleichzeitig auch im Hinblick auf eine Datenübermittlung in andere Drittländer auf Grundlage von Standarddatenschutzklauseln beachtet werden, da in jedem Einzelfall geprüft werden muss, ob ein Empfänger von Daten in einem Drittland anhand der nationalen Gesetzgebung überhaupt in der Lage ist, die ihm aufgrund der Geltung der EU-Standard-Datenschutzklauseln obliegenden Pflichten einzuhalten.

Jedes Unternehmen sollte nun prüfen, ob ein Datenverkehr, der bislang (ausschließlich) aufgrund des EU-US Privacy Shields erfolgte, auf eine andere der in Art. 44 ff. DSGVO normierten gesetzlichen Garantieren gestützt werden kann. Anderenfalls drohen Sanktionen seitens der Aufsichtsbehörden, etwa die Beschränkung oder das völlige Verbot der Datenübermittlung sowie Bußgelder.

Zudem sollte beobachtet werden, wie sich die nationalen und europäischen Datenschutzbehörden zu diesem Urteil positionieren.

 

Die Pressemitteilung des EuGH zu dieser Entscheidung finden Sie hier.