EuGH kippt Datenschutzvereinbarung zwischen EU und den USA

Der Europäische Gerichtshof (EuGH) sorgt mal wieder für Wirbel.

Kurz zum Hintergrund: Seit vielen Jahren schwelt ein Streit über die Frage, ob und wie personenbezogene Daten aus der EU in die USA transferiert werden dürfen. Früher gab es zwischen der EU und den USA die sog. Safe-Harbour-Vereinbarung, die eine quasi-gesetzliche Erlaubnis für den Datentransfer darstellte. Der EuGH hatte bereits 2015 Safe-Harbour für unwirksam erklärt.

Nach Safe-Harbour kam dann das sog. EU-US-Privacy-Shield – eine neue Vereinbarung zur Wahrung des Datenschutzes.

Mit heutigem Urteil hat der EuGH allerdings auch den EU-US-Privacy-Shield für rechtswidrig erklärt!

In der bereits vorliegenden Pressemitteilung des EuGH heißt es u.a.:

“Insoweit stellt der EuGH fest, dass im EU-US-Privacy-Shield, ebenso wie bei Safe-Harbour, den Erfordernissen der nationalen Sicherheit, des öffentlichen Interessesund der Einhaltung des amerikanischen Rechts Vorrang eingeräumt wird, was Eingriffe in die Grundrechte der Personen ermöglicht, deren Daten in die Vereinigten Staaten übermittelt werden. Er kommt zu dem Ergebnis, dass die von der Kommission im Privacy-Shield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten (…) nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind.”

Der EuGH erläutert noch weitere Argumente, und dann:

“Aus all diesen Gründen erklärt der Gerichtshof den EU-US-Privacy-Shield für ungültig.”

Die Rechtsfolgen sind heftig: “Einfach so” dürfen also personenbezogene Daten nicht mehr in die USA transferiert werden – jedenfalls nicht auf Grundlage des EU-US-Privacy-Shields.

Der EuGH hat allerdings zugleich entschieden, dass ein Transfer auf Basis der sog. Standarddatenschutzkauseln weiterhin möglich ist.

Wie geht es jetzt weiter??

Wer personenbezogene Daten außerhalb der EU transferieren möchte, darf dies nur aufgrund eines sog. Angemessenheitsbeschlusses – mit dem stellt die EU-Kommission fest, dass im Zielland XY ein der EU vergleichbares Datenschutzniveau gegeben ist. Mit Blick auf die USA war das bis jetzt der EU-US-Privacy-Shield, der nun aber hinfällig ist.

Art. 46 DSGVO gibt aber eine weitere Möglichkeit vor: Hiernach darf das datenverarbeitende Unternehmen personenbezogene Daten an ein Drittland übermitteln, sofern der Verantwortliche geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Als solche “geeigneten Garantien” kommen bspw. die von der Europäischen Kommission genehmigten Standarddatenschutzklauseln in Betracht (Art. 46 Abs. 2 Buchstabe c DSGVO).