Ungültigerklärung des EU-U.S. Privacy Shields durch den Europäischen Gerichtshof

Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) in seinem Urteil zum Schrems II-Fall das Datenabkommen EU-U.S. Privacy Shield zwischen den USA und der EU für ungültig erklärt (Urteil EuGH C-311/18). Der EU-U.S. Privacy Shield entsprach einem sektoriellen Angemessenheitsbeschluss der EU-Kommission, aufgrund dessen Daten aus dem EU/EWR-Raum an viele Unternehmen in den USA rechtssicher übermittelt werden konnten. Der Jurist Max Schrems hatte jedoch - wie schon gegen das Vorgängermodell Safe Harbour - gegen eine Datenübermittlung durch Facebook an den Mutterkonzern in den USA geklagt, weil der U.S. Privacy Shield in den USA nicht ein vergleichbar hohes Datenschutzniveau wie im EU/EWR-Raum garantiere. So hätten insbesondere staatliche Behörden in den USA weitgehende Zugriffsmöglichkeiten auf die Daten, gegen die sich Betroffene aus dem EU/EWR-Raum nicht angemessen wehren könnten. Der EuGH ist dieser Argumentation nun grösstenteils gefolgt.

Allerdings stellte der Europäische Gerichtshof in seinem Urteil auch klar, dass Daten nach wie vor aufgrund anderer geeigneter Garantien nach Art. 46 ff. DSGVO in die USA übermittelt werden können, insbesondere auch aufgrund von Standarddatenschutzklauseln. Zumindest mittelfristig, bis allenfalls durch die EU-Kommission ein neues Abkommen mit den USA zur Datenübermittlung geschlossen werden kann, müssen sich Verantwortliche nun auf solche Instrumente stützen. Die Datenschutzstelle hat auf ihrer Internetseite eine Zusammenstellung der Voraussetzungen und der verschiedenen geeigneten Garantien für Datenübermittlungen in Drittstaaten veröffentlicht. Der Beitrag kann hier nachgelesen werden.

Im Übrigen wird die Datenschutzstelle die Entscheidung des EuGH und ihre Konsequenzen für Datenübermittlungen in Drittstaaten analysieren und demnächst nähere Anleitungen dazu veröffentlichen.