17.07.2020

Aus für „Privacy Shield“ – EuGH kippt EU-US-Datenschutzschild

Mit Urteil vom 16.07.2020 (Rechtssache C-311/18) hat der Europäische Gerichtshof (EuGH) in Luxemburg die zwischen den USA und der Europäischen Union bestehende Datenschutz-Vereinbarung „Privacy Shield“ gekippt.

Das Privacy Shield sollte ermöglichen, dass personenbezogene Daten zwischen europäischen Ländern und den USA ausgetauscht werden können.

Der EU-US-Datenschutzschild vermittle keinen angemessenen Schutz für personenbezogene Daten, die aus der EU in die USA als Drittland übermittelt werden, so die Richter. Mit Blick auf die Zugriffsmöglichkeiten von US-Behörden und den damit einhergehenden Einschränkungen des Datenschutzes seien keine hinreichenden Regelungen gegeben, die den Vorgaben des Unionsrechts gleichwertig sind. Die auf US-amerikanische Rechtsvorschriften gestützten Überwachungsprogramme würden danach nicht auf ein zwingend erforderliches Maß beschränkt.

Der dem EU-US-Datenschutzschild zugrundeliegende Angemessenheitsbeschluss der EU-Kommission 2016/1250 sei deshalb ungültig, so der Urteilsspruch des Gerichtshofs.

Der „Privacy Shield“ wurde von der EU-Kommission im Jahr 2016 etabliert. Bereits die zuvor gültige „Safe Harbor“-Regelung war durch den EuGH im Oktober 2015 für ungültig erklärt worden.

Ohne einen gültigen Beschluss darf eine Datenübermittlung in Drittländer wie die USA nun nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügt. Entsprechende Garantien können sich aus den von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben. Ferner sei in der Datenschutz-Grundverordnung (DS-GVO) genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss der Kommission vorliege noch geeignete Garantien bestünden, so der EuGH in seiner Pressemitteilung.

Alle Unternehmen, die personenbezogene Daten austauschen, sollten prüfen, worauf sie den Datenaustausch stützen.

Für Rückfragen zu diesem Urteil und den Auswirkungen stehen wir Ihnen gerne zur Verfügung.

Ihr ASD| IP, IT, Commercial Team