Zum Inhalt
Law Blog
Zu allen Blog-Posts
12.08.2020

Der Europäische Gerichtshof erklärt Privacy Shield für ungültig

Der 16. Juli 2020 begann für viele US-Unternehmen mit einem Paukenschlag. Der Europäische Gerichtshof (EuGH) erklärte in seiner Entscheidung (Rechtssache C-311/18 Data Protection Commissioner / Maximillian Schrems und Facebook Ireland) das "Privacy Shield" zwischen der EU und den USA für ungültig. Personenbezogene Daten können somit nicht mehr auf dieser Grundlage von der EU in die USA übermittelt werden. Eine Übergangsfrist gibt es nicht. Die von der EU-Kommission erlassenen Standardvertragsklauseln können jedoch weiterhin verwendet werden.

Generell gilt, dass personenbezogene Daten nur in Drittländer (Länder außerhalb der Europäischen Union) übermittelt werden dürfen, wenn diese ein angemessenes Datenschutzniveau vorweisen. Ein solches angemessenes Datenschutzniveau kann ua aufgrund einer Adäquanzentscheidung in einem Beschluss durch die EU-Kommission festgestellt werden. Eine weitere Möglichkeit einer rechtskonformen Übermittlung besteht in der Verwendung von sogenannten Standardvertragsklauseln, die ebenfalls von der Kommission für unterschiedliche Fallkonstellationen erlassen wurden.

Nachdem der Europäische Gerichtshof im Oktober 2015 die bis dahin angewandte Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärte (Rechtssache C-362/14 – Schrems/Data Protection Commissioner), suchten die Europäische Union und die USA eine Alternative, personenbezogene Daten in Übereinstimmung mit der damals geltenden europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA übermitteln zu können.

Von Ende 2015 bis Mitte 2016 wurde zwischen der Europäischen Union und den USA eine Nachfolgevereinbarung ausgehandelt, die aus einer Reihe von Zusicherungen der US-amerikanischen Regierung und einem Angemessenheitsbeschluss der EU-Kommission bestand. Am 12. Juli 2016 beschloss die EU-Kommission, dass die Vorgaben des sogenannten Datenschutzschilds (Privacy Shield) dem Datenschutzniveau der Europäischen Union entsprechen.

Der Datenschutzaktivist Maximilian Schrems, der bereits die Safe-Harbor Vereinbarung zu Fall brachte, zweifelte stets an, dass durch die Verwendung des Privacy Shields ein angemessenes Datenschutzniveau gewährleistet werden könnte. Er war schlussendlich auch dafür verantwortlich, dass der EuGH das Privacy Shield für ungültig erklärte. Die wesentlichen Gründe dafür sind:

  • Ebenso wie in der Safe-Harbour-Entscheidung wird auch im Angemessenheitsbeschluss über das Privacy Shield, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang eingeräumt. Dadurch werden jedoch Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die USA übermittelt werden.
  • Die US-Behörden wie NSA und FBI verwenden Überwachungsprogramme die sich nicht auf das "zwingend erforderliche Maß" beschränken, womit die Daten europäischer Nutzer in den USA nicht angemessen geschützt sind.
  • Betroffenen Nutzern in der EU wird kein ausreichender Rechtsbehelf gegen die Überwachung in den USA geboten. Der zuständige, beim US-Außenministerium angesiedelte, Ombudsmann kann keine verbindlichen Entscheidungen gegenüber den US-Behörden erlassen.
     

Die, ebenfalls auf den Prüfstand gestandenen, Standardvertragsklauseln können laut EuGH weiterhin verwendet werden. Der Datenexporteur und der Empfänger der Übermittlung müssen allerdings vorab prüfen, ob das erforderliche Schutzniveau im betreffenden Drittland überhaupt eingehalten werden kann. Im Zweifelsfall muss die Datenübermittlung vom Exporteur ausgesetzt werden und/oder muss er vom Vertrag mit dem Empfänger zurücktreten. Außerdem sind die zuständigen Aufsichtsbehörden in der EU befugt, den Datentransfer in die USA zu überprüfen und gegebenenfalls auch zu untersagen, wenn sie Zweifel an der Rechtmäßigkeit der Datenübermittlung haben.

Zukünftig reicht es bei Datenübermittlungen in Drittländer somit nicht mehr aus, einfach die Standardvertragsklauseln zu unterschreiben. Vielmehr muss der Datenexporteur vorab eine Bewertung des Schutzniveaus im Empfängerland für die übermittelten Daten vornehmen. Es bleibt zu hoffen, dass die Aufsichtsbehörden eine Bewertung vornehmen, für welche Länder unter welchen Voraussetzungen ein angemessenes Schutzniveau angenommen werden kann.

 

Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.

Verwendung von Cookies

Diese Website verwendet Cookies zu Analysezwecken und um die Benutzerfreundlichkeit zu erhöhen.

Sie können der Verwendung von Cookies zustimmen oder diese individuell konfigurieren.

Mehr zu unseren Datenschutzrichtlininen finden Sie auf der Seite Datenschutz.

Einstellungen

Sie können die verwendete Dienste und deren Cookies hier individuell aktivieren oder deaktivieren.

Mehr zu unseren Datenschutzrichtlininen finden Sie auf der Seite Datenschutz.

Cookies in dieser Kategorie sind für die einwandfreie Funktion der Website erforderlich und können deshalb nicht deaktiviert werden.

Cookies in dieser Kategorie dienen der Analyse des Nutzerverhaltens und helfen uns die Benutzerfreundlichkeit der Website zu verbessern.

Service zur Analyse des Nutzungsverhaltens.