EuGH kippt EU-US Privacy Shield

Der Europäische Gerichtshof hat heute in seinem Urteil das umstrittene EU-US Privacy Shield für ungültig erklärt. Die von der Kommission aufgestellten Standardvertragsklauseln sind hingegen mit Unionrecht vereinbar.

Die Datenschutzvereinbarung (Privacy Shield-Beschluss 2016/1250) zwischen der USA und der EU legte als Nachfolgeregelung des bereits 2015 gekippten transnationalen Safe-Harbor-Abkommen fest, unter welchen Voraussetzungen und Einschränkungen personenbezogene Daten von Unionsbürgern in den USA übermittelt werden durften.

Die von der Kommission zur Verfügung gestellten Standardvertragsklauseln (Beschluss 2010/87) können weiterhin einen Datentransfer in Drittländer ermöglichen. Der EuGH sieht die Grundrechte Charta der Europäischen Union durch diese nicht tangiert. Allerdings betont der EuGH hierbei die Aufgabe der Datenschutzbehörden, die Übermittlung nur in solchen Fällen zu gestatten, in denen die Standardklauseln im Empfängerland auch eingehalten werden (können). Auch die Exporteure von Daten, also die europäischen Unternehmen, die Daten ins Ausland übermitteln, werden vom EuGH angehalten, Standardvertragsklauseln nicht einfach blind einzusetzen, sondern mit den Datenimporteuren vor der Datenübermittlung abzustimmen, ob das in den Vertragsklauseln vorgeschriebene Datensicherheitsniveau im Drittland überhaupt eingehalten werden kann. Ist dies nach den nationalen Vorgaben im Drittland nicht möglich, ist der Datentransfer auszusetzen oder zu beenden. Eine Übermittlung von personenbezogenen Daten in die USA auf Grundlage von Standardvertragsklauseln scheint, aufgrund der umfänglichen Rechte der US-Geheimdienste in den USA, nach der Entscheidung des EuGH derzeit nur noch schwer möglich.

Die Standardvertragsklauseln sollen einen einheitlichen Daten- und Rechtsschutz für Betroffene gewährleisten. Das EU-US Privacy Shield hingegen würde, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen nicht im ausreichenden Maße beachten, da die amerikanischen Rechtsvorschriften ihre Überwachungsprogramme, zumindest für nicht US-Bürger, auf kein erforderliches Maß beschränken, so der EuGH.

Damit ist jedoch die Datenübermittlung in Drittländer und speziell in die USA nicht generell ausgeschlossen. Diese muss nach der Entscheidung des EuGH zukünftig auf der Grundlage von im Drittland durchsetzbaren Standardvertragsklauseln basieren oder die in Art. 49 DSGVO genannten Voraussetzungen erfüllen. Größere Tragweite könnte damit zukünftig der in Art. 49 Abs. 1 DSGVO genannten Erlaubnistatbeständen zukommen.