Blog > EU – US Privacy Shield: EuGH beendet ungeschützte Datentransfers in die USA >
EU Kommission präsentiert das Privacy Shield

EU – US Privacy Shield: EuGH beendet ungeschützte Datentransfers in die USA

Die Bemühungen des österreichischen Datenschützers Max Schrems, seine Rechte gegenüber Facebook durchzusetzen haben erneut zu einem weitreichenden Urteil des EuGH geführt: Das Datenschutzabkommen zwischen der EU und den USA, das EU – US Privacy Shield, wurde für ungültig erklärt.

Der Europäische Gerichtshof hat in seinem Urteil vom 16.07.2020 festgestellt, dass die im Rahmen des EU – US Privacy Shield vorgesehenen Schutzmaßnahmen nicht ausreichen, um einen dem europäischen Datenschutzniveau entsprechenden Schutz zu garantieren.

Diese Entscheidung begründet das Gericht mit den Überwachungsmaßnahmen der US Geheimdienste, die nur zum Teil auf gesetzlicher Grundlage erfolgen und für Nicht-US-Bürger außerhalb der USA keinerlei Rechtsschutz vorsehen. Insbesondere besteht keine Möglichkeit sich bezüglich der Verarbeitung seiner Daten, deren Richtigstellung oder Löschung an ein unabhängiges Gericht zu wenden. Die gemäß Privacy Shield vorgesehene Ombudsperson erfüllt die Anforderungen an die Unabhängigkeit und Entscheidungsbefugnis nicht.

Die fraglichen US Überwachungsmaßnahmen sind teilweise so gestaltet, dass die Überwachung bereits einsetzt, bevor die Daten den Empfänger in den USA erreichen. Zu anderen Teilen bestehen für US Unternehmen Herausgabepflichten gegenüber den Geheimdiensten.

In seinem Urteil prüfte der EuGH auch die sogenannten Standardvertragsklauseln. Dabei handelt es sich um standardisierte Datenschutzverträge, die zwischen Verantwortlichen in der EU und Empfängern in den USA oder anderen Drittstaaten abgeschlossen werden können. Damit soll für die jeweilige Datenübermittlung in Drittstaaten ein angemessenes Datenschutzniveau sichergestellt werden.

Diese Standardvertragsklauseln bleiben weiterhin gültig und können – zumindest theoretisch – weiterhin auch mit Datenempfängern in den USA abgeschlossen werden. Allerdings hält der EuGH in seinem Urteil unmissverständlich fest, dass der Verantwortliche nur dann Daten in ein Drittland übermitteln darf, wenn diese Standardverträge und allfällige zusätzliche Maßnahmen tatsächlich ein angemessenes Schutzniveau gewährleisten.

Für den Fall der USA folgt daraus, dass Verantwortliche mit Standardvertragsklauseln und zusätzlichen Maßnahmen ein Schutzniveau erreichen müssten, das mit dem EU – US Privacy Shield trotz einiger Zusagen der US-Regierung nicht erreicht werden konnte. Welche Anforderungen dieses Schutzniveau zumindest erfüllen muss hielt der EuGH in seinem Urteil ausführlich fest.

Dass diese Anforderungen bezüglich den USA erfüllt werden können, darf bezweifelt werden. Schließlich müsste dafür entweder erreicht werden, dass die Daten keiner Geheimdienstüberwachung unterworfen werden, worauf allerdings weder der Verantwortliche noch der Empfänger in den USA wirksam Einfluss nehmen können. Oder es müsste die US-Regierung für die jeweilige Übermittlung verpflichtet werden, ein Datenschutzniveau auf europäischem Niveau sicherstellen. Dies scheitert schon daran, dass die US-Regierung kein Vertragspartner der Standardvertragsklauseln ist und somit auch nicht verpflichtet werden kann.

Für einige wenige Ausnahmen können noch die Ausnahmen des Artikel 49 DSGVO für Datenübermittlungen in Drittstaaten zur Anwendung kommen. Für die meisten Datenübermittlungen in die USA kommt dies jedoch eher nicht in Betracht.

Was nun für Verantwortliche zu tun ist:

  • Wenn personenbezogene Daten an eines der 5.385 Unternehmen der Privacy Shield Liste übermittelt werden: Überprüfen, ob eine andere Rechtsgrundlage für die Übermittlung gefunden werden kann (sh. oben).
  • Wenn personenbezogene Daten auf Basis von Standardvertragsklauseln in die USA übermittelt werden: Überprüfen, ob mit diesen Klauseln ein angemessenes Schutzniveau gemäß den detaillierten Anforderungen des EuGH-Urteils erreicht werden kann (sh. oben).
  • Wenn für Datenübermittlungen in die USA (z.B. aus Zeiten vor Wirksamwerden der DSGVO) eine Genehmigung der Datenschutzbehörde bzw. der früheren Datenschutzkommission vorliegt: Prüfen ob diese Genehmigung vor dem Hintergrund des EuGH-Urteils noch rechtswirksam ist bzw. bleibt.
  • Prüfen, ob eine der Ausnahmen des Artikel 49 DSGVO genutzt werden kann.
  • Wenn für Übermittlungen in die USA kein angemessenes Schutzniveau erreicht werden kann: Übermittlung aussetzen und erforderlichenfalls vollständig einstellen.
  • In allen Fällen: Überprüfen, ob eine Übermittlung personenbezogener Daten in die USA tatsächlich zwingend erforderlich ist und solche Übermittlungen nach Möglichkeit meiden, da sie auf absehbare Zeit mit hohen Risiken für den Verantwortlichen verbunden sein werden.
Datenschutz Online-Schulung

Newsletter

Für den Datenschutzbrief
anmelden >