EuGH kippt Privacy Shield – Zukunft des Datentransfers in die USA unklar
20.07.2020
Der Datentransfer in Drittländer setzt eine Rechtsgrundlage voraus. Das sind in der Praxis vor allem Angemessenheitsbeschlüsse gem. Art. 45 DS-GVO, mit denen die Kommission einem Drittland ein angemessenes Datenschutzniveau bescheinigt, und geeignete Garantien gem. Art. 46 DS-GVO, insbesondere Standardvertragsklauseln.
Im Rahmen des Privacy Shield-Abkommens hatten die USA Zusicherungen zum Schutz personenbezogener Daten abgegeben, die die Kommission in einem Angemessenheitsbeschluss für ausreichend erklärte. In der Folge konnten Daten an US-Unternehmen übermittelt werden, die sich zur Einhaltung der Privacy Shield-Regeln verpflichtet hatten. Der EuGH hält die Schutzmaßnahmen unter dem Privacy Shield für unzureichend. Dabei stellt das Gericht insbesondere auf die – je nach Empfänger – weitreichenden Zugriffsmöglichkeiten von US-Behörden auf die in den USA gespeicherten Daten und das Fehlen gleichwertiger Rechtsbehelfe ab. Eine Datenübermittlung auf Basis des Privacy Shield ist damit unzulässig.
Die von der Kommission genehmigten Standardvertragsklauseln hält der EuGH zwar grundsätzlich für geeignete Garantien. Das Gericht stellt aber gleichzeitig klar, dass die Vereinbarung von Standardvertragsklauseln allein nicht genügt. Es muss in jedem Einzelfall geprüft werden, ob im Empfängerstaat tatsächlich ein gleichwertiges Schutzniveau gewährleistet ist. Diese Pflicht trifft in erster Linie den Verantwortlichen, der Daten in ein Drittland übermitteln möchte. Gegebenenfalls müssen zusätzliche Garantien vereinbart werden.
Datentransfers auf Basis von Standardvertragsklauseln – insbesondere in die USA – sind damit nicht pauschal untersagt, müssen aber einer kritischen Prüfung unterzogen werden. Die Aufsichtsbehörden in Deutschland haben eine Abstimmung angekündigt, um eine einheitliche Rechtsanwendung sicherzustellen. Mit den Ergebnissen ist in den nächsten Monaten zu rechnen. Unternehmen sollten aber bereits jetzt schon die von der Entscheidung betroffenen Datenströme und Transfermechanismen identifizieren, überprüfen und ggf. anzupassen.