EuGH kippt das EU-US-Datenschutzabkommen
„Privacy Shield“
Was ist überhaupt der „Privacy Shield“?
Der EU-US Privacy Shield („Datenschutzschild“) ist ein Abkommen zwischen der europäischen Union und den Vereinigten Staaten von Amerika, welches europäischen Unternehmen eine Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA schaffte. Denn gemäß der DSGVO dürfen personenbezogene Daten nur dann in ein Drittland übermittelt werden, wenn dort ein angemessenes Schutzniveau für personenbezogene Daten existiert (vgl. Art. 44 DSGVO). Durch den wenig regulierten Umgang mit personenbezogenen Daten in den USA musste somit eine Rechtsgrundlage geschaffen werden, damit europäische Unternehmen personenbezogene Daten in die USA übertragen konnten. Ursprünglich wurde das Safe-Harbor-Abkommen ausgehandelt, welches dann im Oktober 2015 vom EuGH für ungültig erklären worden ist. Sodann stellte der Privacy Shield eine Grundlage für die Übermittelung der personenbezogenen Daten dar.
Nun wurde allerdings auch der Privacy Shield gekippt – Ist es noch möglich, Daten in die USA zu übermitteln?
Auslöser für den Rechtsstreit war der Jurist Max Schrems. Laut Schrems kann die USA nicht fähig sein, Daten von EU-Bürgern angemessen zu schützen, weil die Gesetze in den USA Geheimdienste und andere Behörden (NSA und FBI) dazu ermächtigt, auf die Daten von EU-Bürgern zuzugreifen. Beispielsweise ist Facebook in den USA dazu verpflichtet, die Daten auch Behörden wie dem FBI oder der NSA zugänglich zu machen, ohne dass sich der Betroffene dagegen wehren kann. Damit verstößt der Privacy Shield auch gegen Art. 47 der Europäischen Grundrechte-Charta, wonach jeder Person ein wirksamer Rechtsbehelf gegen Grundrechtseingriffe zustehen muss.
Standardvertragsklauseln bleiben wirksam
Anders als der Privacy Shield sieht der EuGH die Standardvertragsklauseln für wirksam. Derzeit kann der Datenaustausch auf Grundlage der Standardvertragsklauseln erfolgen. Das sind von der EU-Kommission bereitgestellte Verträge, wodurch sich die jeweiligen Parteien bei der Datenübermittelung zur Einhaltung eines angemessenen Datenschutzstandards verpflichten. Allerdings müssen beim Datentransfer weiterhin die Grundrechte der europäischen Bürgerinnen und Bürger beachtet und besondere Schutzmaßnahmen getroffen werden. Mit anderen Worten hat derjenige, der sich auf die Standardvertragsklauseln beruft, festzustellen ob das Schutzniveau im Drittland für die übermittelten Daten im Wesentlichen dem der EU entspricht.
Wir halten Sie an dieser Stelle auf dem Laufenden und informieren Sie über die neuesten Entscheidungen.