Was ist das EU-US Privacy Shield?
Das EU-US Privacy Shield ist eine informelle Absprache auf dem Gebiet des Datenschutzrechts, welches zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurde. Diese Absprache regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Es ist nicht das erste Abkommen dieser Art, welches von europäischer Seite für nichtig erklärt wurde – bereits 2015 hat die Europäische Kommission den Vorgänger des US-Privacy Shield – das Safe-Harbor-Abkommen – für ungültig erklärt.
Welche Auswirkung hat die heutige Entscheidung?
Die Übermittlung von personenbezogenen Daten in ein Drittland oder eine internationale Organisation ist nur zulässig, wenn die Grundsätze der Art. 44 ff DSGVO eingehalten werden. Neben dem Abschluss von Standardvertragsklauseln galt bisher unter anderem das EU-US Privacy Shield als geeignete Rechtsgrundlage – dies ist mit dem heutigen Urteil wohl Geschichte.
Unternehmen und Organisationen sind daher angehalten, ihre Datenverarbeitung zu überprüfen. Übermittlungen in die Vereinigten Staaten von Amerika, die auf Grundlage des EU-US Privacy Shield durchgeführt werden, scheinen nicht mehr rechtmäßig zu sein.
Alternativ kann die Verarbeitung auf Basis von Standardvertragsklauseln gestützt werden. Standardvertragsklausen sind, ähnlich wie Verträge zur Auftragsverarbeitung, rechtliche Vorlagen, welche die EU für die Datenübermittlung erstellt hat. Diese seien weiterhin gültig, da sie geeignete Mechanismen enthielten, um das europäische Datenschutzniveau einzuhalten. Ist ein Abschluss der Standardvertragsklauseln nicht möglich, da vom Empfänger keine Standardvertragsklauseln angeboten oder angenommen werden, müsse der Datenexporteur – also das europäische Unternehmen – die Datenübermittlung aussetzen. Und auch wenn Standardvertragsklauseln angeboten oder angenommen werden, muss das übermittelnde Unternehmen kritisch prüfen, ob ein geeignetes Datenschutzniveau beim Empfänger existiert. Illegale Übermittlungen können enorme Bußgelder nach sich ziehen – bis zu 20 Mio. Euro bzw. 4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.
Wieso ist es zu diesem Urteil gekommen?
Dem Urteil vorausgegangen war ein Rechtsstreit der Nichtregierungsorganisation „NOYB – europäisches Zentrum für digitale Rechte“ gegen Facebook.
NOYB bzw. Max Schrems (Ehrenvorsitzender NOYB) beklagte die Übermittlung seiner personenbezogenen Daten durch die irische Facebook-Tochter an die Muttergesellschaft in den USA.
Auch wenn es sich bei diesem Rechtsstreit um die Standardvertragsklauseln der Konzernmutter mit der Konzerntochter drehte, so begutachtete der Europäische Gerichtshof auch das EU-US-Privacy Shield. Eben dieses räume amerikanischen Sicherheitsbehörden weitgehende Rechte ein, die nicht auf das zwingend erforderliche Maß beschränkt seien. Dies, so die Richter, erlaube Eingriffe in die Grundrechte der betroffenen Personen, deren Daten in die USA übermittelt werden. Letzteres sei mit dem Datenschutzniveau in der Europäischen Union nicht vereinbar.