Gastkommentar
17.07.2020, 07:04 Uhr
Nach EuGH-Urteil: Gravierende Folgen für Datentransfers in die USA
Dass nach Ansicht des EuGH das Privacy Shield den Anforderungen der DGSVO grundsätzlich nicht genügt, hat Folgen für zahlreiche Social-Media-Plattformen, Anbieter und Nutzer von Cloud-Diensten sowie Online-Händler, die personenbezogene Daten in die USA weiterreichen.
Von Dr. Carsten Ulbricht, Partner der Sozietät Menold Bezler in Stuttgart
Der Europäische Gerichtshof hat die Privacy-Shield-Vereinbarung zum Datentransfer zwischen der EU und den USA gekippt. Die Richter entschieden, dass das EU-US Privacy Shield nicht ausreicht, um personenbezogene Daten rechtskonform in die USA zu übertragen (C-311/18).
Das Privacy Shield ist eine Vereinbarung zwischen der EU und den USA, die im Wesentlichen regelt, wie US-Unternehmen bestimmte Datenschutzstandards gewährleisten können. Bislang ging man davon aus, dass US-Unternehmen, die sich dem Privacy Shield unterworfen haben, europäische Datenschutzstandards einhalten - und dass europäische Unternehmen dorthin Daten im Einklang mit der Datenschutzgrundverordnung (DGSVO) übermitteln dürfen.
Dass nach Ansicht des EuGH das Privacy Shield den Anforderungen der DGSVO grundsätzlich nicht genügt, hat Folgen insbesondere für zahlreiche Social-Media-Plattformen, Anbieter und Nutzer von Cloud-Diensten sowie Online-Händler, die personenbezogene Daten in die USA weiterreichen.
Hintergrund
Nach dem EU-Datenschutzrecht dürfen personenbezogene Daten nur dann ins nicht-europäische Ausland übertragen werden, wenn in dem Empfängerland oder bei dem Empfänger ein ausreichendes Datenschutzniveau gewährleistet wird. Eben dies sollte das Privacy Shield sicherstellen. Alternativ können Unternehmen sogenannte Standardvertragsklauseln zum Datenaustausch abschliessen, mit denen sie sich verpflichten, die erforderlichen Datenschutzgarantien einzuhalten.
Der österreichische Jurist Maximilian Schrems, der bereits das Safe-Habor-Abkommen vor dem EuGH zu Fall gebracht hatte, klagte auch gegen das Privacy Shield. Dabei ging es zunächst um die Frage, ob die Facebook Ireland Ltd. Nutzerdaten auf Grundlage von Standardvertragsklauseln an den US-Mutterkonzern weiterleiten darf.
Es bestanden Zweifel, ob Facebook sich angesichts der vielen US-Überwachungsgesetze überhaupt an die vertraglichen Datenschutzverpflichtungen halten kann. Die irischen Datenschutzbehörden, die als eher konzernfreundlich gelten, waren untätig geblieben. Zugleich gab es aber auch generelle Bedenken gegenüber der Rechtmässigkeit des Privacy Shield an sich.