EuGH-Urteil zum EU-US-Privacy Shield (Juli 2020)

Constantin Jacob, Leiter Recht & Regulierung und Verbandsjustitiar im Call Center Verband Deutschland e. V. (CCV)

Der Europäische Gerichtshof (EuGH) erklärte mit dem „Privacy Shield“ die hauptsächlich genutzte Grundlage für Datentransfers zwischen der EU und den USA für unwirksam. Das Gericht veröffentlichte hierzu eine zusammenfassende Pressemitteilung. Der EuGH argumentiert, auch wenn die US-Nachrichtendienste beim Zugriff auf personenbezogene Daten bestimmte Anforderungen zu beachten hätten, seien deren Überwachungsprogramme nicht auf das „zwingend erforderliche Maß“ beschränkt.

Hintergrund

Nach allgemeiner Auffassung entsprechen die USA nicht dem europäischen Datenschutzniveau. Um eine Datenübermittlung dennoch zu ermöglichen, wurde im Jahr 2000 das sogenannte Safe-Harbor-Abkommen beschlossen. Dieses wurde vom EuGH jedoch 2015 für ungültig erklärt, da US-Behörden einen generellen Zugriff auf elektronische Kommunikation haben (Schrems I, Urteil v. 06.10.2015, C 362/14). Daraufhin trat im Jahr 2016 der EU-US-Privacy Shield mit strengeren Vorgaben in Kraft. Auch dieses Abkommen wurde nun durch den EuGH am 16.07.2020 für ungültig erklärt (Schrems II, Urteil v. 16.07.2020, C 311/18). Ausschlaggebend für dieses Urteil waren wiederum u. a. die Zugriffsrechte von US-Behörden auf Daten sowie eine mangelnde Verhältnismäßigkeit nach europäischen Datenschutzgrundsätzen.

Auswirkungen

Der EU-US-Privacy Shield ist unwirksam, die Standarddatenschutzklauseln sind als solche hingegen weiterhin wirksam.

Durch das Urteil ist der Datenexporteur verpflichtet, die Datenübermittlung auszusetzen oder zu beenden, wenn der Schutz der übermittelten Daten auch durch zusätzliche Schutzmaßnahmen nicht hinreichend sichergestellt werden kann. Folge ist, dass Unternehmen, die Daten in Drittstaaten – das Urteil betrifft nicht nur den Transfer in die USA – übermitteln, umgehend eine Bestandsaufnahme ihrer Übermittlungen durchführen sollten. Denn eine Übermittlung personenbezogener Daten in die USA ist seit 16.07.2020 nicht mehr auf der Grundlage des EU-US-Privacy Shields möglich, es besteht keine Übergangsfrist.

EU-Standardvertragsklauseln sind nur noch eingeschränkt als Grundlage der Datenübermittlung verwendbar. Gemäß Urteil besteht zudem keine Verpflichtung der EU-Kommission, beim Erlass von Standardvertragsklauseln das Datenschutzniveau von Drittstaaten zu überprüfen. Stattdessen ist es die Verantwortung des Datenexporteurs, für jede Datenübermittlung das Schutzniveau im Drittland zu prüfen und geeignete Garantien für den Schutz der zu übermittelnden Daten vorzusehen. Dabei kann es erforderlich sein, über die Standardvertragsklauseln hinaus ergänzende Garantien durch zusätzliche Maßnahmen vorzusehen, wenn anders ein „gleichwertiges Schutzniveau“ nicht erreicht werden kann. Welche Garantien und Maßnahmen das sind, ist aktuell umstritten.

Die Datenschutzkonferenz hat hierzu eine Pressemitteilung veröffentlicht, welche ergänzende Informationen enthält. Zudem veröffentlichte der Europäischer Datenschutzausschuss (EDSA) FAQs (deutsche Sprache, [PDF]) zum Urteil.

Prüfen Sie gemeinsam mit Ihren Datenschutzbeauftragten unbedingt die Auswirkungen des Urteils auf Ihre Prozesse!

CCV-Mitglieder können nach Login unten unter Downloads die Präsentationen von Dr. Oliver Hornung (SKW Schwarz Rechtsanwälte) sowie Alexander Filip (Bayerisches Landesamt für Datenschutzaufsicht) aufrufen, welche im Rahmen eines vbw-Webinars zu diesem Thema erstellt wurden und der CCV als vbw-Mitglied dankenswerterweise veröffentlichen darf.

Rechtliche Hinweise:
Diese Publikation stellt eine allgemeine und unverbindliche Information dar. Obwohl die Informationen mit größtmöglicher Sorgfalt erstellt wurden, besteht kein Anspruch auf sachliche Richtigkeit, Vollständigkeit und/oder Aktualität, insbesondere kann diese Publikation nicht den besonderen Umständen des Einzelfalls Rechnung tragen. Eine Verwendung liegt daher in der eigenen Verantwortung des Lesers. Jegliche Haftung des CCV wird ausgeschlossen. Der CCV darf als Branchenverband keine Rechtsberatung im Einzelfall leisten. Hierzu wenden Sie sich bitte je nach Fragestellung an einen spezialisierten Rechtsanwalt oder an einen (externen) Datenschutzbeauftragten.

×

MITGLIEDERZUGANG

Passwort vergessen?  
Sollte Ihnen Ihre registrierte E-Mail nicht bekannt sein, kontaktieren Sie uns bitte.

NOCH KEIN MITGLIED?

Jetzt CCV-Mitglied werden und von den Vorteilen profitieren.

Computergenerierte Darstellung eines Schlüssels in einem Schloss, mit dem Text 'Exklusiv für unsere Mitglieder'.

  • Sparen Sie bares Geld
  • Gewinnen Sie neue Kunden
  • Erweitern Sie Ihr Netzwerk
  • Profitieren Sie von unserem Wissen
  • Stärken Sie Ihre Reputation
MITGLIED WERDEN
Nach oben scrollen