Europäischer Gerichtshof erklärt Privacy Shield für ungültig – Was Sie jetzt durch den Bruch des EU-US-Datenschutzschildes beachten sollten

Am 16. Juli 2020 fällte der Europäische Gerichtshof (EuGH) in Luxemburg ein wichtiges Grundsatzurteil über den datenschutzgerechten Transfer personenbezogener Daten in den Vereinigten Staaten von Amerika. Nach Safe Harbor hat der EuGH auch den Privacy Shield für unzulässig erklärt. Was sind die Folgen für Firmen und Internetnutzer?

 

Was ist das Privacy Shield überhaupt?

Der Schutz personenbezogener Daten in den USA unterscheidet sich, bereits auf verfassungsrechtlicher Ebene, erheblich von deutschen und europäischen Standards. Die im Jahr 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) soll in einer nie dagewesenen Ausführlichkeit die Bürger der Europäischen Union in ihrem allgemeinen Persönlichkeitsrecht schützen. Ihre formelle Gültigkeit erstreckt sich jedoch nicht auf die USA. Um eine einheitliche rechtliche Grundlage für den Transfer von Daten europäischer Mitgliedstaaten in die USA zu schaffen, wurde das Privacy Shield erarbeitet. Als Schutzschild sollte es dazu dienen, den Datentransfer in den Vereinigten Satten nach EU-Datenschutz-Standards zu gewährleisten.

 

Wie lautet das Urteil des EuGHs?

Die Richter des EuGHs haben nun eben dieses zwischen der EU-Kommission und den USA vereinbarte Datenschutzschild für ungültig erklärt. Gleichzeitig erklärten sie jedoch die Übertragbarkeit von personenbezogenen Daten zwischen Firmen in der EU und den USA auf Basis von sogenannten Standardvertragsklauseln für rechtskräftig. Nach Einschätzung des EuGHs müssen die personenbezogenen Daten von EU-Bürgern in Drittstaaten ein Schutzniveau erhalten, dass den Vorgaben der DSGVO und der Europäischen Grundrechte-Charta entspricht. Das Privacy Shield reiche allerdings nicht als Basis aus, um personenbezogene Daten in die Vereinigten Staaten zu übertragen.

Grundlage für das Urteil ist die Tatsache, dass die Rechtsvorschriften bezüglich der Verarbeitung persönlicher Daten in den USA nicht auf das zwingend erforderliche Maß beschränkt sind und somit den Grundsatz der Verhältnismäßigkeit nicht erfüllen. Das bedeutet: die USA verarbeitet zu viele Daten zu Zwecken, für die sie eigentlich gar nicht vorgesehen waren. Da dieses Vorgehen genau im Widerspruch zu der DSGVO steht, ist das Privacy Shield ungültig.

 

Was sind die Folgen des Urteils?

Haben Behörden oder Unternehmen Daten ausschließlich auf Grund des Privacy Shield in die USA übertragen, ist dieses Vorgehen nun nicht mehr rechtskonform. Die Datenübertragung aufgrund Standardvertragsklauseln scheint davon nicht berührt. Folgt man der Ansicht des EuGHs, stehen Behörden jedoch in der Verpflichtung, den Export von Daten in die USA auszusetzen oder zu untersagen, wenn sie der Meinung sind, dass die Standardvertragsklauseln in diesem Land nicht umgesetzt werden oder nicht eingehalten werden können.

 

Sie haben Fragen zum Thema Privacy Shield und den möglichen Folgen?

Unsere Datenschutzexperten möchten Sie unterstützen. Wir helfen Ihnen, Sie und Ihr Unternehmen zum aktuellen Urteil des Europäischen Gerichtshofs ausführlich zu beraten. Fachlich kompetent stehen wir Ihnen als Ansprechpartner zur Seite und beraten Sie individuell zu möglichen Veränderungen, die auf Ihre Unternehmen zukommen.  

Kontaktieren Sie uns gerne persönlich per Telefon unter 0531/243300  oder E-Mail an info@bredex.de

Kontakt-Icon