EuGH Privacy Shield Urteil: Folgen für Daten | IT-Medienrecht

Erfahren Sie alles zum EuGH Privacy Shield Urteil und dessen Folgen für die Datenübermittlung in die USA. Was Unternehmen jetzt beachten müssen und wie…

Das Wichtigste in Kürze

  • Der EuGH hat den Privacy Shield für ungültig erklärt; Datentransfer in die USA auf dieser Grundlage ist unzulässig.
  • Standardvertragsklauseln (SCC) und Binding Corporate Rules (BCR) können weiter genutzt werden, erfordern aber zusätzliche Schutzmaßnahmen.
  • Unternehmen sind verpflichtet, das Datenschutzniveau in Drittländern selbst zu prüfen und gegebenenfalls Maßnahmen zu ergreifen.
  • Das US-Recht bietet kein gleichwertiges Schutzniveau wie die EU, insbesondere bezüglich nachrichtendienstlicher Erhebungsbefugnisse.
  • Es besteht eine sofortige Handlungspflicht für Unternehmen ohne Übergangs- oder Schonfrist.

EuGH-Urteil zum Privacy Shield: Was Unternehmen in Deutschland beachten müssen

Der Europäische Gerichtshof hat in seinem Urteil vom 16. Juli 2020 (Rechtssache C311/18) den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt. Zugleich stellte der EuGH fest, dass die Entscheidung 2010/87/EG der Kommission über Standardvertragsklauseln (Standard Contractual Clauses – SCC) grundsätzlich weiterhin gültig ist.

Auswirkungen des EuGH-Urteils zum Privacy Shield auf Unternehmen

  1. Die Übermittlung personenbezogener Daten in die USA auf Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy Shield für ungültig erklärt, da das bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Das betrifft beispielsweise die nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order 12 333.
  2. Standardvertragsklauseln (SCC) und zusätzliche Maßnahmen

    Für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer können die bestehenden Standardvertragsklauseln der Europäischen Kommission zwar grundsätzlich weiter genutzt werden. Allerdings betonte der EuGH die Verantwortung von Verantwortlichem und Empfänger, das Schutzniveau zu bewerten.

    Es muss geprüft werden, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der Union genießen. Nur dann kann beurteilt werden, ob die Garantien aus den Standardvertragsklauseln in der Praxis wirksam sind. Ist dies nicht der Fall, sind zusätzliche Maßnahmen zur Sicherstellung eines gleichwertigen Schutzniveaus zu prüfen. Betrieblicher Datenschutz spielt hierbei eine zentrale Rolle.

    Das Recht des Drittlandes darf diese zusätzlichen Schutzmaßnahmen nicht in einer Weise beeinträchtigen, die ihre tatsächliche Wirkung vereitelt. Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.

  3. Binding Corporate Rules (BCR) und ergänzende Maßnahmen

    Die Wertungen des Urteils finden auch auf andere Garantien nach Artikel 46 DSGVO Anwendung. Dies betrifft zum Beispiel verbindliche interne Datenschutzvorschriften („binding corporate rules“ – BCR), auf deren Grundlage eine Übermittlung personenbezogener Daten in die USA und andere Drittstaaten erfolgt. Daher müssen auch für Datenübermittlungen auf Grundlage von BCR ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland kein gleichwertiges Schutzniveau wie in der Union genießen. Auch diese Maßnahmen müssen für die übermittelten Daten ein im Wesentlichen gleichwertiges Datenschutzniveau wie in der EU garantieren können. Weitere Neuerungen im Datenschutzrecht sind stets zu beachten.

  4. Ausnahmen nach Artikel 49 DSGVO

    Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach Artikel 49 DSGVO ist weiterhin zulässig. Dies gilt, sofern die Bedingungen des Artikels 49 DSGVO im Einzelfall erfüllt sind. Zur Anwendung und Auslegung dieser Vorschrift hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht.

  5. Sofortige Handlungspflicht für Unternehmen

    Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat hierfür keine Übergangs- beziehungsweise Schonfrist eingeräumt.

Fazit

Zusammenfassend lässt sich sagen, dass das EuGH-Urteil zum Privacy Shield weitreichende Konsequenzen für den internationalen Datentransfer hat. Unternehmen sind nun stärker in der Pflicht, das Datenschutzniveau bei Drittlandtransfers selbst zu prüfen und gegebenenfalls zusätzliche Maßnahmen zu ergreifen. Eine kontinuierliche Überprüfung der Compliance ist unerlässlich, um rechtliche Risiken zu minimieren und den Anforderungen der DSGVO gerecht zu werden.

Häufig gestellte Fragen

Was ist die Kernaussage des EuGH-Urteils zum Privacy Shield?
Der Europäische Gerichtshof hat den Beschluss zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt. Dies bedeutet, dass die Übermittlung von Daten in die USA auf dieser Grundlage unzulässig ist und sofort eingestellt werden muss.
Können Standardvertragsklauseln (SCC) weiterhin für den Datentransfer genutzt werden?
Ja, Standardvertragsklauseln können grundsätzlich weiterhin genutzt werden. Allerdings müssen Unternehmen prüfen, ob das Schutzniveau im Drittland dem der EU gleichwertig ist und gegebenenfalls zusätzliche Maßnahmen ergreifen, da SCCs allein oft nicht ausreichen.
Welche Rolle spielen zusätzliche Maßnahmen beim Datentransfer in Drittländer?
Sind die Garantien aus den Standardvertragsklauseln im Drittland nicht wirksam, müssen zusätzliche Maßnahmen ergriffen werden, um ein gleichwertiges Schutzniveau zu gewährleisten. Das Recht des Drittlandes darf diese Schutzmaßnahmen nicht beeinträchtigen.
Sind auch Binding Corporate Rules (BCR) von dem Urteil betroffen?
Ja, die Wertungen des Urteils gelten auch für Binding Corporate Rules (BCR). Auch hier sind ergänzende Maßnahmen erforderlich, wenn das Datenschutzniveau im Drittland nicht dem der EU entspricht.
Gibt es Ausnahmen für den Datentransfer in die USA trotz des Urteils?
Ja, die Übermittlung von personenbezogenen Daten nach Artikel 49 DSGVO ist weiterhin zulässig, sofern die dort genannten Bedingungen im Einzelfall erfüllt sind. Hierzu hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht.
Was müssen Unternehmen nach diesem Urteil sofort tun?
Unternehmen, die personenbezogene Daten in die USA oder andere Drittländer übermitteln, müssen unverzüglich überprüfen, ob dies unter den neuen Bedingungen geschehen kann. Der EuGH hat keine Übergangs- oder Schonfrist eingeräumt.