16. Juli 2020

EuGH kippt Privacy Shield

Der EuGH hat heute das EU/US-Privacy-Shield für ungültig erklärt (vgl. Pressemitteilung des EuGH Nr. 91/20 vom 16. Juli 2020). Übertragungen personenbezogener Daten aus einem EU-Land in die USA sind daher auf dieser Basis nicht mehr zulässig!

Dies führt nicht unmittelbar dazu, dass EU-Unternehmen keine personenbezogenen Daten mehr in die USA übertragen dürften. Neben dem Privacy Shield (Angemessenheitsbeschluss der EU-Kommission) gibt es beispielsweise noch die Möglichkeit, die EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern zu nutzen. Diese wurden durch den EuGH nicht direkt für unwirksam erklärt. Daher sollten alle Unternehmen, die sich bisher auf das Privacy Shield gestützt haben, prüfen, ob sie auch die EU-Standard­vertrags­klauseln mit ihrem USA-Vertragspartner vereinbart haben – und dies ggf. nachholen.

Allerdings trifft die Argumentation des EuGH grundsätzlich auch auf die EU-Standard­vertrags­klauseln zu. Denn es geht im Kern darum, dass in den USA aufgrund der dortigen Gesetzgebung kein ausreichender Schutz der Grundrechte von EU-Bürgern im Hinblick auf ihre personen­bezogenen Daten gewähr­leistet werden kann. Es wird also spannend, wie beispielsweise die Datenschutz­aufsichts­behörden auf die neue Recht­sprechung reagieren.