EuGH kippt Datentransferabkommen Privacy Shield mit USA.

 Datenschutzabkommen zum Transfer personenbezogener Daten „Privacy Shield“ der EU mit den USA genügt den Anforderungen der DSGVO nicht.

EuGH kippt Datentransferabkommen Privacy Shield mit USA

Der EuGH hat mit Urteil vom 16. Juli das Datenschutzabkommen Privacy Shield zwischen der USA und der EU für ungültig erklärt (Az. C-311/18).

Die Datenschutzvereinbarung Privacy Shield sollte gewährleisten, dass personenbezogene Daten von EU-Bürgern beim Transfer in die USA ausreichend geschützt sind. Die Vereinbarung war lange umstritten und wurde von Datenschützern kritisiert. Grund der Kritik: die Geheimdienste in den USA haben fast uneingeschränkten Zugriff auf diese Daten. 

Der Europäische Gerichtshof (EuGH) hat die Vereinbarung nun für ungültig erklärt. Das Ende der Übertragung von Nutzerdaten in die USA und andere Staaten bedeutet das allerdings nicht. Dies ist immer noch auf der Basis sog. Standarddatenschutzklauseln der EU-Kommission möglich.

US-Behörden haben Zugriff auf Daten

Hintergrund der EuGH-Entscheidung ist ein Streit des österreichischen Juristen Max Schrems mit Facebook Irland. Schrems wehrte sich dagegen, dass seine Nutzerdaten von Facebook Irland an den Mutterkonzern in den USA weitergeleitet werden. Dies begründete er mit dem löchrigen Datenschutz in den Staaten. Denn dort ist Facebook verpflichtet, die Daten auch Behörden wie CIA oder FBI zugänglich zu machen. Betroffene können sich dagegen fast nicht wehren. 

Anforderungen des DSGVO nicht erfüllt

Das allerdings entspricht nicht den europäischen Anforderungen an Datenschutz. Auch Privacy Shield könne nicht für einen angemessenen Schutz der Daten sorgen, befand nun der EuGH. Laut der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden, wenn in dem betreffenden Land ein angemessenes Datenschutzniveau gewährleistet ist. Mit Blick auf die weitreichenden Zugriffsmöglichkeiten der US-Behörden auf die Daten, gewährleiste Privacy Shield keinen ausreichenden Schutz der Nutzerdaten der EU-Bürger, so der EuGH.  Darüber hinaus sei auch der Rechtsschutz für Betroffene unzureichend.

Standardvertragsklauseln bleiben gültig

Das Urteil bedeutet allerdings nicht das Ende jeglichen Datentransfers in die USA. Auf Basis sogenannter Standardvertragsklauseln können Nutzerdaten von EU-Bürgern weiter in die USA und andere Staaten übertragen werden. Diese enthielten in der Regel ausreichende Mechanismen, um dem Datenschutz zu gewährleisten, formuliert der EuGH. Sollten Datenschutzbehörden aber der Ansicht sein, dass die Standardvertragsklauseln in dem Empfängerland nicht eingehalten werden, können sie den Transfer der Daten aussetzen oder verbieten.

Praktisch hat das EuGH-Urteil für viele Unternehmen weitreichende Folgen. Sie müssen dafür sorgen, dass bei jedem Datentransfer aus oder in die USA für ausreichenden Datenschutz gesorgt ist. Auf das Privacy Shield können sie sich nicht mehr berufen.

Unternehmen müssen nun Maßnahmen ergreifen, um ihren internationalen Datentransfer in Einklang mit den Regelungen der DSGVO zu bringen. Ansonsten droht ein Verstoß gegen die DSGVO, der hart sanktioniert werden kann.

EuGH kippt Privacy Shield. Als aktueller datenschutzrechtlicher Ausweg bleiben Standarddatenschutzklauseln der EU-Kommission aber wirksam.