Der EuGH hat mit Urteil vom 16.07.2020 entschieden, dass europäische Unternehmen ihre Datenübermittlung in die USA nicht mehr auf das Privacy-Shield-Abkommen stützen können.
Der Privacy Shield diente dazu, DSGVO-konform personenbezogene Daten europäischer Bürger an US-Unternehmen zu übermitteln. Es war zwischen der EU-Kommission und US-Regierung ausgehandelt worden.
Hintergrund:
Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Nach dieser Verordnung kann die Kommission feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet. Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u. a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen. Ferner ist in der DSGVO genau geregelt, unter welchen Voraussetzungen eine solche Übermittlung vorgenommen werden darf, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen.
Mit dem Urteil vom 16.07.2020 (C-311/18) stellte der Gerichtshof fest, dass der Privacy Shield-Beschluss 2016/1250 als ungültig anzusehen ist.
Er äußerte sich dahingehend, dass die Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.
Stellungnahme des Europäischen Datenschutzausschusses zum Urteil in Form von FAQ
Nunmehr hat der Europäische Datenschutzausschuss (EDSA), der aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten besteht, eine erste Stellungnahme zu den Folgen des Urteils in Form eines FAQ-Papiers veröffentlicht.
In dem FAQ-Papier wird u. a. klargestellt, dass Übermittlungen personenbezogener Daten auf Grundlage des Privacy-Shields mit der Urteilsverkündung des EuGH unzulässig geworden seien. Eine Gnadenfrist werde es nicht geben. Die betreffenden Unternehmen seien daher angehalten, unverzüglich zu prüfen, ob der Datentransfer in die USA auf einer anderen Grundlage erfolgen kann und die entsprechende Umstellung vorzunehmen.
Standardvertragsklauseln seien weiterhin eine mögliche Grundlage für den Datentransfer. Sie müssten durch zusätzliche Vereinbarungen oder Elemente ergänzt werden, um im Empfängerland ein gleichwertiges Datenschutzniveau zu gewährleisten.
Der EDSA macht in den FAQ zudem deutlich, dass eine Datenübermittlung auch aufgrund der Ausnahmeregelung des Art. 49 DSGVO weiterhin erfolgen kann. Eine Übermittlung personenbezogener Daten kann demnach insbesondere aufgrund einer Einwilligung oder der Erfüllung eines Vertrags erfolgen. Zulässig ist eine solche Datenübermittlung, wenn sie auf bestimmte Situationen beschränkt ist und die strikte Notwendigkeitsprüfung erfüllt ist.
2020-09-07
