Der EuGH hat mit Urteil vom 16.07.2020 entschieden, dass der bisherige Privacy Shield keine geeignete Grundlage für die Übermittlung personenbezogener Daten in die Vereinigten Staaten darstellt. Standard-Datenschutzklauseln können weiter verwendet werden, sind allerdings im Einzelfall vom Verwender zu überprüfen.
Was ist der Privacy Shield?
Der Privacy Shield ist ein Angemessenheitsbeschluss der EU-Kommission, der besagt, dass in den Vereinigten Staaten (USA) ein angemessenes Datenschutzniveau herrscht und somit die Übermittlung der Daten in die USA vereinfacht. Dadurch wird den Betroffenen einen absolutes Minimum an Datenschutz garantiert.
Liegt kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht, die sich u.a. aus von der EU-Kommission erarbeiteten Standarddatenschutzklauseln ergeben können, und wenn die betroffenen Personen über durchsetzbare Rechte und wirksame Rechtsbehelfe verfügen.
Wieso ist der Privacy Shield ungeeignet?
Der größte Kritikpunkt am Privacy Shield war seit jeher, dass US-amerikanische Behörden aus Gründen der nationalen Sicherheit, der Strafverfolgung oder anderer im öffentlichen Interesse liegender Ziele, auf die personenbezogenen Daten der Betroffenen Zugriff haben.
Der EuGH stellte zunächst fest, dass die Übermittlung personenbezogener Daten aus der EU in einen Drittstaat einen Verarbeitung im Sinne des Art. 4 Nr. 2 DS-GVO darstellt. Dann stellt der Gerichtshof fest, dass ihn Privacy Shield (-Beschluss), ebenso wie in der Safe-Harbour-Entscheidung 2000/520, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden.
Problematisch ist dabei, dass die US-amerikanischen Behörden nach dortigem Recht auf die personenbezogenen Daten zugreifen können und dieses Recht – so der EuGH – nicht dieselben hohen Anforderungen (u.a. Verhältnismäßigkeit) stellt, wie die Anforderungen derer es bedarf, wenn eine Regierung innerhalb der Union ebensolche Daten auslesen will.
Wie geht es jetzt weiter?
Die europäischen und amerikanischen Datenschutzbehörden dürften nunmehr daran arbeiten, der EU-Kommission ein Nachfolge-Abkommen zur Entscheidung vorlegen zu können. Bis dahin verbleibt die Übertragung auf Grundlage der Standarddatenschutzklauseln weiterhin möglich, jedoch muss diese jeder Verantwortliche auf ihre Angemessenheit hin überprüfen.
Rechtsanwälte für Datenschutz
Kannengießer & Sauer Rechtsanwälte Düsseldorf beraten bundesweit Unternehmen in den Belangen des Datenschutzes und helfen diesen, sich in diesem schnelllebigen Rechtsgebiet sicher zu bewegen. Sollten Sie an unseren Beratungsleistungen interessiert sein, zögern Sie nicht, uns unverbindlich anzufragen. Dazu können Sie gerne per E-Mail oder telefonisch Kontakt mit uns aufnehmen.
Dieser Beitrag erhebt keinen Anspruch auf Vollständigkeit, noch ersetzt er die anwaltliche Beratung. Vielmehr dienen unsere Beiträge der Information unserer Mandanten und anderer Interessierter.