Europäische Gerichtshof erklärt Privacy Shield für ungültig – Was nun?

Arbeitsrecht

23.11.2020

Am 16. Juli 2020 fällte der Europäische Gerichtshof (EuGH) in Luxemburg ein wichtiges Grundsatzurteil über den datenschutzgerechten Transfer personenbezogener Daten in die Vereinigten Staaten von Amerika. Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländer sollen jedoch weiter gültig sein.

Was ist das Privacy Shield überhaupt?
Der Schutz personenbezogener Daten in den USA unterscheidet sich – bereits auf verfassungsrechtlicher Ebene – erheblich von deutschen und europäischen Standards. Die im Jahr 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) soll in einer nie dagewesenen Ausführlichkeit die Bürger der Europäischen Union in ihrem allgemeinen Persönlichkeitsrecht schützen, ihre formelle Gültigkeit erstreckt sich jedoch nicht auf die USA. Um eine einheitliche rechtliche Grundlage für den Transfer von Daten europäischer Mitgliedstaaten in die USA zu schaffen, wurde das Privacy Shield erarbeitet. Als Schutzschild sollte es dazu dienen, den Datentransfer in die Vereinigten Satten nach EU-Datenschutz-Standards zu gewährleisten.

Wie lautet das Urteil des EuGHs?
Die Richter des EuGHs haben nun eben dieses zwischen der EU-Kommission und den USA vereinbarte Datenschutzschild für ungültig erklärt. Gleichzeitig erklärten sie jedoch die Übertragbarkeit von personenbezogenen Daten zwischen Firmen in der EU und den USA auf Basis von sogenannten Standardvertragsklauseln für rechtskräftig. Nach Einschätzung des EuGHs müssen die personenbezogenen Daten von EU-Bürgern in Drittstaaten ein Schutzniveau erhalten, dass den Vorgaben der DSGVO und der Europäischen Grundrechte-Charta entspricht. Das Privacy Shield reiche allerdings nicht als Basis aus, um personenbezogene Daten in die Vereinigten Staaten zu übertragen.

Grundlage für das Urteil ist die Tatsache, dass die Rechtsvorschriften bezüglicher der Verarbeitung persönlicher Daten in den USA nicht auf das zwingend erforderliche Maß beschränkt sind und somit den Grundsatz der Verhältnismäßigkeit nicht erfüllen. Das bedeutet: die USA verarbeitet zu viele Daten zu Zwecken, für die sie eigentlich gar nicht vorgesehen waren. Da dieses Vorgehen genau im Widerspruch zu der DSGVO steht, ist das Privacy Shield ungültig.

Was sind die Folgen des Urteils?
Haben Behörden oder Unternehmen Daten ausschließlich auf Grund des Privacy Shield in die USA übertragen, ist dieses Vorgehen nun nicht mehr rechtskonform. Die Datenübertragung aufgrund Standardvertragsklauseln scheint davon nicht berührt. Folgt man der Ansicht des EuGHs, stehen Behörden jedoch in der Verpflichtung, den Export von Daten in die USA auszusetzen oder zu untersagen, wenn sie der Meinung sind, dass die Standardvertragsklauseln in diesem Land nicht umgesetzt werden oder nicht eingehalten werden können.

Zusammenfassung
Der EuGH erklärt das Privacy Shield zum Datentransfer zwischen der EU und den USA für ungültig, da eine angemessene Verhältnismäßigkeit nicht gegeben ist. Standardvertragsklauseln sind von dem Urteil nicht berührt, sollten jedoch ebenfalls untersagt oder ausgesetzt werden, falls die Standardklauseln im Vertragsland nicht rechtskonform umgesetzt und eingehalten werden können.

Sie haben Fragen zum Thema Privacy Shield und den möglichen Folgen?
Die BREDEX GmbH möchte Sie unterstützen. Kontaktieren Sie das Unternehmen gerne persönlich per Telefon oder E-Mail: Telefon: 0531/243300 E-Mail: info@bredex.de.

Hier finden Sie das passende Whitepaper

Maßnahmen Privacy Shield