EuGH erklärt datenschutzrechtliches EU-US Privacy Shield-Abkommen zwischen der EU und den USA für ungültig

  • EuGH erklärt datenschutzrechtliches EU-US Privacy Shield-Abkommen zwischen der EU und den USA für ungültig

    EuGH erklärt datenschutzrechtliches EU-US Privacy Shield-Abkommen zwischen der EU und den USA für ungültig

    Der Europäische Gerichtshof hat laut einer Pressemitteilung vom 16.07.2020 das zweite datenschutzrechtliche Abkommen zwischen der EU und den USA über die Weitergabe personenbezogener Daten an Nicht-EU-Länder für unwirksam erklärt.

    Auf der Grundlage der Datenschutzgrundverordnung (DSGVO) dürfen personenbezogene Daten durch den Verantwortlichen nur dann in ein Drittland übermittelt werden, wenn dort ein angemessenes Schutzniveau gewährleistet ist, insbesondere geeignete Garantien vorgesehen sind sowie dem Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, Art. 46 Abs. 1 DSGVO. Um dies nicht in jedem Einzelfall prüfen zu müssen, kann die EU-Kommission durch Beschluss feststellen, dass ein Drittland aufgrund seiner eigenen innerstaatlichen Gesetze oder sonstigen internationalen Verpflichtungen ein hinreichendes Schutzniveau gewährleistet, Art. 45 DSGVO.
    Nachdem der EuGH bereits das sog. Safe-Harbour-Abkommen, also den mit der USA abgestimmten Beschluss der EU-Kommission über das hinreichende Schutzniveau in den USA am 06.10.2015 für ungültig erklärt hat, hat die EU-Kommission einen neuen Beschluss 2016/1250, das sog. EU-US Privacy Shield, gefasst. Auf dieser Grundlage konnten Unternehmen bisher personenbezogene Daten an in den USA sitzende Unternehmen weitergeben, ohne selbst eingehend prüfen zu müssen, ob das nach Art. 46 Abs. 1 DSGVO vorgeschriebene ausreichende Schutzniveau gegeben ist.
    Mit seiner Entscheidung vom 16.07.2020 stellt der EuGH nun fest, dass dieser EU-US Privacy Shield, also der Beschluss der EU-Kommission 2016/1250, ungültig ist. Hintergrund dieser Einschätzung ist, wie bereits bei der Ungültigerklärung des Safe-Harbour-Abkommens, der Umstand, dass in dem Beschluss den Erfordernissen der nationalen Sicherheit der USA, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts der Vorrang vor den in der EU unter anderem durch die Grundrechtecharta geschützten Rechten der Bürger eingeräumt wird. Dort, wo auch den US-Behörden gegenüber Anforderungen an die Durchführung gestellt werden, bestehen für die betroffenen EU-Bürgern allerdings keine ausreichend gerichtlich durchsetzbaren Rechte. Dies betrifft insbesondere die Geltung der Überwachungsgesetze der USA.

    Diese Entscheidung dürfte weitreichende Folgen haben. Unternehmen, die bisher auf die Gültigkeit des EU-US Privacy Shield vertraut haben und auf dieser Basis die personenbezogenen Daten in die USA übermittelt haben, drohen bei einer Fortsetzung dieser Übermittlung Bußgelder durch die Datenschutzbehörden. Dabei geht es nicht nur um die gewerbliche Datenübermittlung als solche wie etwa bei Facebook, Google, Microsoft etc., sondern auch um die Übermittlung personenbezogener Daten durch Unternehmen zum Zwecke etwa der Werbeansprache durch einen automatisierten Newsletterversand an Kunden, Facebook-Fanpages oder Cloudsysteme, in denen die Mitarbeiter- und/oder Kundendaten angelegt sind und bei denen die jeweiligen Betriebsserver in den USA stehen.

    Jedes Unternehmen sollte daher umgehend prüfen, ob es Beziehungen zu in den USA sitzenden Unternehmen unterhält und die Zusammenarbeit gegebenenfalls einstweilen aussetzen und sich fachkundig beraten lassen.