Der EuGH hat das EU-US-Privacy Shield-Abkommen für nich­tig erklärt. Damit fehlt die häu­figs­te Grund­la­ge für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die USA. Die meis­ten US-Dienstleister dürf­ten nicht mehr ein­ge­setzt wer­den. Die Stan­dard­ver­trags­klau­seln sind jedoch wei­ter­hin wirksam.

Mit sei­nem Urteil hat der EuGH den Nach­weis eines ange­mes­se­nen Daten­schutz­ni­veaus durch die Pri­va­cy Shield-Zertifizierung aberkannt. Die Stan­dard­ver­trags­klau­seln sind dage­gen wei­ter­hin wirk­sam und kön­nen als Grund­la­gen für eine Daten­über­mitt­lung in die USA her­an­ge­zo­gen wer­den. Der EuGH macht jedoch deut­lich, dass ein aner­kann­tes Daten­schutz­ni­veau in den Klau­seln gewahrt wer­den muss.” – Eileen Binder

Durch den Abschluss von Stan­dard­ver­trags­klau­seln ist es Ver­ant­wort­li­chen mög­lich, per­so­nen­be­zo­ge­ne Daten aus der EU in die USA zu über­mit­teln. Durch die Klau­seln wird der Daten­emp­fän­ger ver­pflich­tet, ein dem euro­päi­schen Daten­schutz­ni­veau glei­ches Schutz­ni­veau zu garan­tie­ren. Durch das EU-US-Privacy Shield wur­den wei­te­re Garan­tien zur Ver­fü­gung gestellt. Zer­ti­fi­ziert sich ein ame­ri­ka­ni­sches Unter­neh­men nach dem Pri­va­cy Shield, erkennt die EU-Kommission ein aus­rei­chen­des Daten­schutz­ni­veau an.

Mit sei­nem Urteil hat der EuGH den Nach­weis eines ange­mes­se­nen Daten­schutz­ni­veaus durch die Pri­va­cy Shield-Zertifizierung aberkannt. Die Stan­dard­ver­trags­klau­seln sind dage­gen wei­ter­hin wirk­sam und kön­nen als Grund­la­gen für eine Daten­über­mitt­lung in die USA her­an­ge­zo­gen wer­den. Der EuGH macht jedoch deut­lich, dass ein aner­kann­tes Daten­schutz­ni­veau in den Klau­seln gewahrt wer­den muss. Stan­dard­ver­trags­klau­seln US-amerikanischer Unter­neh­men müs­sen daher zunächst dar­auf geprüft wer­den. Gilt schon das Pri­va­cy Shield nicht als ange­mes­se­nes Daten­schutz­ni­veau, könn­te das auch für die Stan­dard­ver­trags­klau­seln gelten.

Was kön­nen Sie tun?

Der­zeit nicht viel, müss­te die rich­ti­ge Ant­wort lau­ten. Noch ist es zu früh, die Trag­wei­te des Urteils ab- und ein­schät­zen zu kön­nen. Zunächst hat das Urteil haupt­säch­lich Unsi­cher­heit bei euro­päi­schen Unter­neh­men her­vor­ge­ru­fen. Für den Anfang kom­men bis­lang fol­gen­de Schrit­te in Betracht:

  • Prü­fen Sie Ihre Daten­schutz­hin­wei­se und –ver­trä­ge. Klau­seln, die auf das Pri­va­cy Shield ver­wei­sen, müs­sen her­aus­ge­nom­men werden.
  • Fra­gen Sie US-Dienstleister nach EU-Servern für die Daten­über­mitt­lung und Datenverarbeitung
  • Set­zen Sie ggf. Daten­über­mitt­lun­gen an ame­ri­ka­ni­sche Unter­neh­men aus. Viel­leicht kommt alter­na­tiv ein Anbie­ter aus der EU / dem EWR in Betracht?

Hin­ter­grund

Das Urteil des EuGH vom 16.07.2020 i.S. „Schrems II“ (C‑311/18) geht zurück auf den Streit zwi­schen dem Daten­schutz­ak­ti­vis­ten Max Schrems und Face­book. Schrems hat­te zunächst Beschwer­de bei der iri­schen Auf­sichts­be­hör­de ein­ge­reicht. Er bean­stan­de­te, dass die von Face­book auf Grund­la­ge der Stan­dard­ver­trags­klau­seln über­mit­tel­ten per­so­nen­be­zo­ge­nen Daten des euro­päi­schen Toch­ter­un­ter­neh­mens an ame­ri­ka­ni­sche Ser­ver der Mut­ter dort nicht sicher sind und ver­lang­te die­se aus­zu­set­zen. Der iri­sche High Court leg­te die Fra­ge zur Klä­rung dem EuGH vor.

Und tat­säch­lich wer­den EU-Bürger durch US-amerikanische Zugriffs­rech­te mas­siv in Ihren Grund­rech­ten auf Pri­vat­sphä­re, Daten­schutz und wirk­sa­me Rechts­mit­tel beschnit­ten. US-Behörden, wie z.B. die NSA, kön­nen ohne gericht­li­chen Beschluss auf per­so­nen­be­zo­ge­ne Daten von Nicht-US-Bürgern zugrei­fen und die­se aus­wer­ten. Rechts­be­hel­fe dage­gen haben EU-Bürger keine.

Fazit

Das Urteil des EuGH hin­ter­lässt zunächst ein­mal einen unsi­che­ren Rechts­raum. Unter­neh­men, die per­so­nen­be­zo­ge­ne Daten in die USA über­mit­teln, müs­sen sich nun gut über­le­gen, wie sie wei­ter vor­ge­hen. Die wei­te­re Über­mitt­lung auf Grund­la­ge des Pri­va­cy Shields ist unzu­läs­sig. Sind mit zer­ti­fi­zier­ten Unter­neh­men Stan­dard­ver­trags­klau­seln geschlos­sen wor­den, soll­te drin­gend geprüft wer­den, ob die Regeln aus­rei­chen oder ver­schärft wer­den müs­sen. Wer Stan­dard­ver­trags­klau­seln mit ame­ri­ka­ni­schen Unter­neh­men schlie­ßen möch­te, soll­te sich im ers­ten Schritt über­le­gen, die Daten­über­mitt­lung bis zum Abschluss des Ver­tra­ges aus­zu­set­zen. Ins­ge­samt ist es noch zu früh, um beur­tei­len zu kön­nen, wel­che Aus­wir­kun­gen das Urteil haben wird. Sicher ist jedoch, dass sich ame­ri­ka­ni­sche Unter­neh­men etwas ein­fal­len las­sen müs­sen, um das ver­lo­re­ne Ver­trau­en in die Daten­über­mitt­lung in die USA wie­der herzustellen.

Was Sie noch interessieren könnte:

AI-Act – ein Überblick

20. Juni 2024|

Der sog. Arti­fi­ci­al Intel­li­gence Act (AI-Act, KI-Gesetz) wur­de am 13. März 2024 vom Euro­päi­schen Par­la­ment beschlos­sen und am 21. […]

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz