EuGH erklärt EU-US-Privacy Shield für ungültig

Mit Urteil vom 16.07.2020, Az. C-311/18, hat der Europäische Gerichtshof (EuGH) in einem Verfahren gegenüber der Facebook Ireland Limited (Beklagte) entschieden, dass der Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Privacy Shield gebotenen Schutzes ungültig ist.

Der Kläger hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Er begründete seine Beschwerde damit, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie NSA und FBI die Daten zugänglich zu machen, und die Praxis der USA daher keinen ausreichenden Schutz vor dem Zugriff der Behörden auf die dorthin übermittelten Daten böten. Nachdem auf Initiative des Klägers 2015 bereits der Vorgänger des EU-US-Privacy Shields, das Safe-Harbour-Abkommen, für ungültig erklärt wurde, stand diesmal – neben den EU-Standardvertragsklauseln – v.a. das EU-US-Privacy Shield im Fokus.

Während der EuGH die EU-Standardvertragsklauseln nicht beanstandete, erachtete er das EU-US-Privacy Shield hingegen aus im Wesentlichen zwei Gründen für ungültig:

• Die Zugriffsmöglichkeiten amerikanischer Behörden auf die Daten von EU-Bürgern seien nicht auf das zwingend erforderliche Maß beschränkt und genügten daher nicht dem Grundsatz der Verhältnismäßigkeit im Unionsrecht;
• den betroffenen EU-Bürgern sein kein Rechtsweg zu einem Organ eröffnet, das Garantien für die Unabhängigkeit der vorgesehenen Ombudsperson als auch für das Bestehen von Normen gewährleistet, die die Ombudsperson dazu ermächtigen, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen.

Für Unternehmen, die ihre Datenverarbeitungen bislang auf Grundlage des EU-US-Privacy Shields vorgenommen haben, hat die Entscheidung des EuGH weitreichende praktische Folgen. Anders als in der Vergangenheit, dürfen Daten zukünftig nicht mehr unter dem EU-US-Privacy Shield übertragen werden, so dass im Falle der Zuwiderhandlung mit hohen Geldbußen nach der Datenschutz-Grundverordnung (DSGVO) zu rechnen ist.

Unternehmen müssen mit dem Urteil des EuGH nunmehr bei jeder einzelnen Datenverarbeitung, die in den USA erfolgt oder aus den USA heraus vorgenommen wird, gewährleisten, dass die hohen Anforderungen der DSGVO erfüllt werden. Nach Art. 44 DSGVO ist der Transfer von personenbezogenen Daten in Nicht-EU-Staaten nur unter engen Voraussetzungen zulässig: Neben dem jetzt für ungültig erklärten EU-US-Privacy Shield bzw. den Angemessenheitsbeschlüssen der Kommission gibt es bei Datenübertragungen innerhalb von Konzernen die Möglichkeit, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) zu vereinbaren, mittels derer die Einhaltung der DSGVO gewährleistet werden soll. Außerhalb einer Konzernstruktur kommen als Alternative zum EU-US-Privacy Shield die vom EuGH nicht beanstandeten Standardvertragsklauseln in Betracht, um ein angemessenes Datenschutzniveau zu gewährleisten.

Falls Sie Fragen zur Gewährleistung eines angemessenen Datenschutzniveaus und/oder den hierfür erforderlichen Garantien haben, können Sie sich gerne jederzeit an unsere zertifizierten
Datenschutzexperten wenden.