Der Europäische Gerichtshof hat in seinem Urteil vom 16. Juli 2020 (Rechtssache C311/18) den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt. Zugleich hat der EuGH festgestellt, dass die Entscheidung 2010/87/EG der Kommission über Standardvertragsklauseln (Standard Contractual Clauses – SCC) grundsätzlich weiterhin gültig ist.

Wichtigste Punkte

Europäischer Gerichtshof erklärte Privacy Shield am 16. Juli 2020 für unwirksam.
Übermittlung personenbezogener Daten in die USA unter Privacy Shield ist unzulässig und muss eingestellt werden.
Standardvertragsklauseln (SCC) bleiben gültig, jedoch muss ein gleichwertiges Schutzniveau für betroffene Personen gewährleistet sein.
Ergänzende Maßnahmen sind erforderlich, wenn die Rechte im Drittland kein gleichwertiges Schutzniveau bieten.
Übermittlung nach Artikel 49 DSGVO ist weiterhin erlaubt, solange die Bedingungen erfüllt sind.
Verantwortliche müssen sofort prüfen, ob die Übermittlung weiterhin rechtmäßig erfolgt.

Was folgt laut der Datenschutzkomission für Unternehmen in Deutschland aus dem Urteil?

Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Das US-Recht, auf das der EuGH Bezug genommen hat, betrifft z. B. die nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order 12 333.
Für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer können die bestehenden Standardvertragsklauseln der Europäischen Kommission zwar grundsätzlich weiter genutzt werden. Der EuGH betonte jedoch die Verantwortung des Verantwortlichen und des Empfängers, zu bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der Union genießen. Nur dann kann entschieden werden, ob die Garantien aus den Standardvertragsklauseln in der Praxis verwirklicht werden können. Wenn das nicht der Fall ist, sollte geprüft werden, welche zusätzlichen Maßnahmen zur Sicherstellung eines dem Schutzniveau in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden können. Das Recht des Drittlandes darf diese zusätzlichen Schutzmaßnahmen jedoch nicht in einer Weise beeinträchtigen, die ihre tatsächliche Wirkung vereitelt. Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.
Die Wertungen des Urteils finden auch auf andere Garantien nach Artikel 46 DSGVO Anwendung wie verbindliche interne Datenschutzvorschriften („binding corporate rules“ – BCR), auf deren Grundlage eine Übermittlung personenbezogener Daten in die USA und andere Drittstaaten erfolgt. Daher müssen auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen. Auch diese Maßnahmen müssen für die übermittelten Daten ein im Wesentlichen gleichwertiges Datenschutzniveau wie in der EU garantieren können.
Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach Artikel 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Artikels 49 DSGVO im Einzelfall erfüllt sind. Zur Anwendung und Auslegung dieser Vorschrift hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht.
Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.

Tags: Contract Datenschutz Gesellschaftsrecht Personenbezogene Daten Standardvertragsklauseln