th share video content contact download event event-wifi cross checkmark close icon-window-edit icon-file-download icon-phone xing whatsapp wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin Google-plus facebook pinterest skype vimeo snapchat arrow-up arrow-right arrow-left arrow-down calendar user home icon-gallery icon-flickr icon-youtube icon-instagram

EuGH: EU-US-Privacy Shield ungültig

Derzeit kein Datenverkehr mit den USA auf Basis eines Angemessenheitsbeschlusses

Kurzüberblick

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 das EU-US Privacy Shield mit sofortiger Wirkung für ungültig erklärt (Urteil in der Rechtssache C-311/18 Data Protection Commissioner / Maximillian Schrems und Facebook Ireland).

Was ist/war das EU-US-Privacy Shield?

Das Privacy Shield war ein Abkommen zwischen der EU und den USA, welches die Übermittlung personenbezogener Daten von der EU in die USA regelte. Mit dem Privacy Shield sollte ein Nachfolger für das vorherige Abkommen, Safe Harbor, gefunden werden, das bereits 2015 vom EuGH für ungültig erklärt wurde („Urteil Schrems I“).

Dieses Abkommen war eine sogenannte „Angemessenheitsentscheidung“, mit der festgestellt wurde, dass die USA ein EU-konformes Datenschutzniveau für den Datentransfer aus der EU an US-Unternehmen, die sich diesem „Privacy Shield“ unterworfen haben, gewährleistet haben. US-Unternehmen hatten die Möglichkeit, sich in eine vom US-Handelsministerium geführten Liste („Privacy Shield List“) eintragen zu lassen, wenn sie sich zur Einhaltung der vereinbarten verbindlichen Anforderungen („Privacy Shield Principles“) durch eine Selbstzertifizierung gegenüber dem US-Handelsministerium verpflichteten.

Warum erklärte der EuGH das Abkommen für ungültig?

Max Schrems, ein österreichischer Datenschutzaktivist, der erfolgreich Safe Harbor zu Fall brachte, strengte neuerlich ein Verfahren wegen der Übermittlung seiner personenbezogenen Daten von Facebook Irland in die USA an, welches in der Befassung des EuGH mündete. Das Recht und die Praxis der USA im Hinblick auf Datenzugriffe würden keinen ausreichenden Schutz vor dem Zugriff der Behörden bieten, so der Vorwurf. Zum einen wurden die „Standarddatenschutzklauseln“ (auch: „Standardvertragsklauseln“ oder „standard contractual clauses“ kurz „SCC“) kritisiert (das sind Vertragsklauseln, die von der Europäischen Kommission für den internationalen Datenverkehr erlassen werden), zum anderen wurde die Gültigkeit des Privacy Shields als Angemessenheitsentscheidung selbst in Frage gestellt.

Das Privacy Shield wurde eigentlich jährlich wie vereinbart durch die EU-Organe überprüft und wurde das Schutzniveau nach wie vor für angemessen erklärt, nun hat es der EuGH in einem neuerlichen Verfahren („Schrems II“) für ungültig erklärt. Die EU-Datenschutz-Grundverordnung (DSGVO) schreibe vor, dass eine Übermittlung personenbezogener Daten durch ein in einem Mitgliedstaat ansässiges Unternehmen an ein anderes, in einem Drittland ansässiges Unternehmen angewendet werden muss, selbst wenn die Daten von den Behörden des Drittlands für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden (können). Dh: Bei der Prüfung des angemessenen Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen den beiden Unternehmen vereinbart wurden, als auch ein etwaiger Zugriff der Behörden dieses Drittlands auf die übermittelten Daten.

Im Fall der USA kam der EuGH zum Ergebnis, dass aufgrund der in den USA vorherrschenden Überwachungsprogramme, den Eingriffen in die Grundrechte der betroffenen Personen und aufgrund des Mangels an Schutzmaßnahmen oder Garantien gegen solche Eingriffe das Datenschutzniveau der EU nicht eingehalten wird. Auch der „Ombudsmannmechanismus“ gewährleistet die Durchsetzung der Rechte nicht. Aus diesem Grunde wurde Privacy Shield für ungültig erklärt.

Was ist mit den Standarddatenschutzklauseln?

Zu den Standarddatenschutzklauseln entschied der EuGH hingegen, dass diese grundsätzlich gültig bleiben. Die Gültigkeit der Klauseln hängt davon ab, ob diese wirksame Mechanismen für die Einhaltung des Schutzniveaus gewährleisten, z.B. ob die Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen die Klauseln verstoßen wird, welche auch grundsätzlich enthalten sind. Kann das erforderliche Schutzniveau im betreffenden Drittland nicht eingehalten werden, muss dies das Unternehmen im Drittland dem Vertragspartner mitteilen und dieser muss die Datenübermittlung aussetzen oder vom Vertrag mit dem Empfänger zurücktreten. Eine derartige Klausel ist in den jetzigen Standardvertragsklauseln der Europäischen Kommission enthalten. Die Kommission arbeitet derzeit an einer umfassenden Modernisierung der Standardklauseln, um sie angesichts der neuen Anforderungen der DSGVO zu aktualisieren, wobei das EuGH Urteil zu Schrems II abgewartet werden wollte.

Welche anderen Möglichkeiten der Datenübermittlung gibt es?

Angemessenheitsbeschlüsse sind nur eine Möglichkeit für einen rechtmäßigen internationalen Datenverkehr. Es gibt natürlich auch andere, wie z.B. das Vorliegen „geeigneter Garantien“. Diese können z.B. in verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules), die von der zuständigen Aufsichtsbehörde genehmigt worden sind, bestehen oder in den oben bereits erwähnten Standarddatenschutzklauseln, die von der Europäischen Kommission erlassen oder von einer Aufsichtsbehörde angenommen und von der Kommission genehmigt worden sind. Auch eine ausdrückliche Einwilligung der betroffenen Personen im Einzelfall oder die Erforderlichkeit für die Erfüllung eines Vertrages mit der betroffenen Person kann eine Möglichkeit für den internationalen Datenverkehr sein

» nähere Informationen zur EU-Datenschutz-Grundverordnung (DSGVO): Internationaler Datenverkehr

Weiterführende Informationen

Stand: