Nach EuGH-Urteil: Gravierende Folgen für Datentransfers in die USA
Die Entscheidung des EuGH
Der EuGH entschied, dass das Privacy Shield tatsächlich nicht ausreicht, um ein angemessenes Datenschutzniveau zu gewährleisten und erklärte den Privacy-Shield-Beschluss für ungültig.
Was die Standardvertragsklauseln betrifft, sagt der EuGH, dass diese grundsätzlich herangezogen werden können, um ein angemessenes Datenschutzniveau beim Datenempfänger zu gewährleisten. Allerdings muss der Datenempfänger prüfen, ob das Schutzniveau im betreffenden Drittland auch wirklich eingehalten wird.
Ist dies nicht der Fall und lassen sich die Standardklauseln somit nicht einhalten, muss der Datenexporteur die Datenübermittlung aussetzen oder die Vertragsbeziehung zum Datenempfänger beenden.
Folgen für Unternehmen
Unternehmen, die bislang personenbezogene Daten allein auf Grundlage des Privacy Shield an US-amerikanische Unternehmen exportiert haben, müssen nun unmittelbar tätig werden. Sie riskieren sonst Bussgelder.
Konkret heisst das, sie sollten möglichst unverzüglich auf Standardvertragsklauseln umstellen und darauf achten, dass diese nicht nur den inhaltlichen Voraussetzungen entsprechen, sondern auch tatsächlich eingehalten werden beziehungsweise eingehalten werden können.
Lässt sich dies nicht sicherstellen, kann die rechtsgültige Datenübertragung in die USA wegen der dortigen "Überwachungsgesetze" trotz grundsätzlich wirksamer Standardvertragsklauseln gefährdet sein.
Fazit
Das Urteil macht noch einmal die Schwächen des Datenschutzniveaus in den USA deutlich und ist insofern wenig überraschend. Die USA müssten ihre "Überwachungsgesetze" ernsthaft ändern, wenn die Datentransfers aus Europa erleichtert werden sollen.
Da eine solche Änderung derzeit eher nicht zu erwarten sein dürfte, ist es an den Unternehmen, zur Vermeidung etwaiger Bussgelder die notwendigen Standards herzustellen.