Recht und Steuern

EuGH entscheidet: EU-US Privacy Shield unwirksam

Der EuGH hat das EU-US Privacy Shield für unwirksam erklärt. Für die Wirtschaft hat diese Entscheidung weitreichende Auswirkungen.

Hintergrund DSGVO

Die DS-GVO gestattet die Übermittlung personenbezogener Daten in ein sogenanntes Drittland nur dann, wenn dort ein angemessenes Schutzniveau sichergestellt ist.

Das EU-US Privacy Shield

Die EU-Kommission hatte im Juli 2016 den mit den USA verhandelten Angemessenheitsbeschluss Privacy Shield erlassen, um geregelte Datentransfers in die USA zu ermöglichen. Wenn sich ein US-Unternehmen freiwillig den Bedingungen des Privacy Shield unterstellt und das US-Handelsministerium (FTC) die Selbstzertifizierung überprüft hatte, konnten Datenübermittlungen an diese zertifizierten US-Unternehmen auf der Grundlage des Privacy Shield erfolgen. Voraussetzung war natürlich, dass die Datenübermittlung grundsätzlich legitimiert war, d.h. auf einer Rechtsgrundlage basierte.

Die Entscheidung des EuGH

Der EuGH hat den Angemessenheitsbeschluss für ungültig erklärt, weil die personenbezogenen Daten von EU-Bürgerinnen und –Bürgern in den USA unverhältnismäßigen Zugriffen durch US-amerikanische Sicherheitsbehörden ausgesetzt seien. Damit werden Datentransfers in die USA, die auf das EU-US-Privacy Shield gestützt wurden, unzulässig (Urteil vom 16.07.2020, Az.: C-311/18).
Die Entscheidung des EuGH betraf auch die sog. EU-Standardvertragsklauseln (SCC). Sie bleiben gültig, aber die europäischen Unternehmen (und im Anschluss die einzelnen Datenschutzbehörden) müssen im Einzelfall prüfen, ob in dem jeweiligen Drittland ein angemessenes Datenschutzniveau gewährleistet ist und mit dem Datenempfänger im Drittland vereinbarte SCC dies sicherstellen können.

Wie geht es mit dem Datentransfer in die USA weiter?

Seit dem 16.07.2020 dürfen personenbezogene Daten nicht mehr auf Basis des Privacy Shield in die USA übermittelt werden. Der EuGH hat keine Übergangs- oder Schonfrist eingeräumt.
Die Entscheidung zwingt Unternehmen zum Handeln, die den Datentransfer bisher auf Grundlage des Privacy Shield vorgenommen haben. Unklar ist auch, wie im Grundsatz für zulässig angesehene SCC tangiert sein werden, denn zusätzlich ist eine Einzelfallprüfung des Datenschutzniveaus im Drittland gefordert.

Praxistipp für Unternehmen

Unternehmen sollten zunächst prüfen, welche Datenübermittlungen auf das EU-US Privacy Shield gestützt werden.
Anschließend ist zu klären, ob diese Datentransfers über andere Wege abgesichert werden können (z. B. durch Standardvertragsklauseln, Binding Corporate Rules oder Zertifizierungen). Bei Standardvertragsklauseln ist zusätzlich zu klären, ob im Drittland ein angemessenes Datenschutzniveau besteht und ob der Datenempfänger im Drittland die Zusicherungen der Vertragsklauseln einhalten kann.
Die Handelskammer Hamburg hat ein Whitepaper veröffentlicht, das Unternehmen mit einem geeigneten Prüfschema bei der notwendigen Überprüfung ihrer Geschäftsprozesse unterstützt.
Die Thematik und der damit verbundene Handlungsbedarf bleibt weiterhin hochaktuell, denn die Aufsichtsbehörden der Bundesländer haben im Juni 2021 eine koordinierte Kontrollaktion angekündigt und Fragebögen zu bestimmten Themenfeldern veröffentlicht. Die deutschen Datenschutzaufsichtsbehörden sehen durch das Urteil den Datenschutz der EU-Bürgerinnen und –Bürger gestärkt ( Pressemitteilung der DSK vom 28.07.2020).  
Es bleibt abzuwarten, wie schnell die EU-Kommission auf die Entscheidung des EuGH reagieren wird. Derzeit wird das EuGH-Urteil im Europäischen Datenschutzausschuss beraten. Dort wird unter den Datenschutzaufsichtsbehörden eine Vorgehensweise abgestimmt.