Der EuGH (Europäische Gerichtshof) erklärte die Privacy Shield-Regelung als Mechanismus für die Übermittlung personenbezogener Daten durch EU-Unternehmen an die USA für ungültig. Er entschied auch, dass die am meisten verwendeten Standardvertragsklauseln unter gewissen Auflagen weiterhin gültig sind. Ein Rechtskommentar einer weltweit tätigen Anwaltskanzlei ortet durch das Urteil "gravierende Auswirkungen".
Sabine Fehringer, Partnerin und Datenschutzexpertin bei der Wirtschaftsanwaltskanzlei DLA Piper Weiss-Tessbach, kommentiert die Entscheidung folgendermaßen: "Das heutige Urteil hat gravierende Auswirkungen auf die Übermittlung personenbezogener Daten in die USA. Es handelt sich um einen Weckruf für EU-Unternehmen: Für diejenigen Unternehmen, die sich bisher auf Privacy Shield verlassen haben, muss ein alternativer Übertragungsmechanismus gefunden werden; dafür bieten sich die bereits bewährten Standardvertragsklauseln an. Vor der Verwendung von Standardvertragsklauseln müssen die Unternehmen jetzt jedoch prüfen, ob der Gesamtkontext der Übermittlung – einschließlich der Berücksichtigung des Wirtschaftssektors, der Branche und des Ziellandes – angemessene Garantien für die personenbezogenen Daten von Einzelpersonen bietet. Die EU-Datenschutzbehörden müssen Unternehmen auffordern, die Übermittlung dieser Daten auszusetzen oder zu verbieten, wenn solche angemessenen Garantien nicht gewährleistet werden können. Sie haben die wenig beneidenswerte Aufgabe, die Angemessenheit von Schutzmaßnahmen zu bestimmen. Es ist wahrscheinlich, dass dies eine weitere Runde politischer Diskussionen zwischen der EU und den USA auslösen wird."
Hintergrund
Die DSGVO (Datenschutz-Grundverordnung) regelt auch die Übermittlung personenbezogener Daten aus der EU und setzt voraus, dass ein gültiger Übermittlungsmechanismus gemäß Kapitel V DSGVO vorhanden ist. Zu diesen Mechanismen gehören Angemessenheitsentscheidungen der Europäischen Kommission (wie z.B. bisher Privacy Shield) oder angemessene Schutzmaßnahmen wie etwa die am häufigsten verwendeten Standardvertragsklauseln.
Zur Erinnerung: Der Europäische Gerichtshof (EuGH) hat die EU-US-Datenschutzvereinbarung "Privacy Shield" für ungültig erklärt. In dem Verfahren geht es um den Rechtsstreit des österreichischen Juristen Max Schrems gegen Facebook. Schrems hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Er begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen, ohne dass Betroffene dagegen vorgehen könnten. Ein irisches Gericht wollte vom EuGH wissen, ob die sogenannten Standardvertragsklauseln und das EU-US-Datenschutzabkommen "Privacy Shield" mit dem europäischen Datenschutzniveau vereinbar sind. Die Luxemburger Richter kippte in der Folge nun das "Privacy Shield". Mit Blick auf die Zugriffsmöglichkeiten der US-Behörden seien die Anforderungen an den Datenschutz nicht gewährleistet. Zudem sei der Rechtsschutz für Betroffene unzureichend.
Der Online-Stellenmarkt für ICT Professionals