„Privacy UnShielded“ – EuGH erklärt EU-US-Datenschutzvereinbarung klare Absage

Der Europäische Gerichtshof hat, nach dem „Safe Harbour“-Abkommen, nun auch die Nachfolgeversion, das transatlantische Datenschutzschild „Privacy Shield“, gekippt. Damit ist die zweite Vereinbarung zum transatlantischen Datenverkehr vom Gericht für ungültig erklärt worden.
Der Europäische Gerichtshof hält das Datenschutzniveau in den USA nicht für gleichrangig mit dem in der Europäischen Union und hat dabei klargestellt, dass die weitreichenden US-amerikanischen Überwachungsgesetze im Widerspruch zu den Grundrechten der EU stehen. Deshalb erklärte das Gericht eine Entscheidung der EU-Kommission über den Transfer persönlicher Daten von Europäer*innen in die USA, bekannt als Privacy Shield,  Urteil vom 16.07.2020 (Az: C‑311/18) für unrechtmäßig.

Bei der ebenfalls erfolgten Prüfung der Standarddatenschutzklauseln, sieht der EuGH allerdings diese nicht schon dadurch in Frage gestellt, dass sie für Behörden des Drittlandes nicht bindend sind. Vielmehr hängt es davon ab, ob Mechanismen vereinbart wurden, die gewährleisten, dass das verlangte Schutzniveau eingehalten wird. Das umzusetzen dürfte allerdings in der Praxis schwierig werden, somit ist auch die weitere Anwendung der Standarddatenschutzklauseln zwar möglich aber kritisch zu betrachten.

Der EuGH vertritt außerdem die Ansicht, dass die Datenschutz-Aufsichtsbehörden verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können.

Nach Ansicht des IT-Branchenverbands Bitkom entsteht durch das Urteil eine große Rechtsunsicherheit für Firmen mit einer Datenverarbeitung in den USA:

„Wer bislang allein auf Basis des Privacy Shield Daten verarbeitet hat, muss zumindest auf die Standardvertragsklauseln umstellen – andernfalls droht ein Daten-Chaos“

Datenschutzaktivist Max Schrems:

„Dieses Urteil ist nicht die Ursache für eine Beschränkung der Datenübermittlung, sondern die Folge der US-amerikanischen Überwachungsgesetze. Man kann dem Gerichtshof nicht vorwerfen, das Unvermeidliche zu sagen.“

Quellen und Presse:

https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf

https://www.heise.de/news/EuGH-kippt-EU-US-Datenschutzvereinbarung-Privacy-Shield-4845204.html

https://netzpolitik.org/2020/datentransfers-eu-gericht-zerschlaegt-privacy-shield/

https://www.sueddeutsche.de/digital/privacy-shield-schrems-facebook-1.4968965

https://noyb.eu/de/node/189