In einer aufsehenerregenden Entscheidung hat der EuGH das sog. “Privacy-Shield” als Hauptgrundlage für Datentransfers zwischen der EU und Drittländern für unwirksam erklärt (EuGH, 16.7.2020 – C-311/18 “Schrems II”, Pressemitteilung).

Das Urteil des EuGH setzt damit ein deutliches Signal vor allem in Richtung der USA und den dort vorherrschenden Überwachungsmechanismen: so seien laut Gericht etwa die Überwachungsprogramme der US-Nachrichtendienste nicht auf das "zwingend erforderliche Maß" beschränkt.

Die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation folgt dem datenschutzrechtlichen Grundprinzip des Verbots mit Erlaubnisvorbehalt: die Verarbeitung personenbezogener Daten außerhalb der EU ist nur zulässig, wenn in den so genannten “Drittländern” ein angemessenes Datenschutzniveau herrscht (Art. 44 bis 49 DSGVO).

Ein angemessenes Datenschutzniveau hatte die EU-Kommission den USA bisher attestiert. Grundlage war das EU-USA-Privacy-Shield-Abkommen, wodurch US-Unternehmen sich verpflichteten, das EU-Datenschutzrecht zu beachten. Mit dem Urteil des EuGH ist diesem Abkommen nun der Boden unter den Füßen weggezogen worden.

Unternehmen, die personenbezogene Daten in Drittländer übermitteln (oder wenn dies zumindest nicht ausgeschlossen werden kann) und sich dabei ausschließlich auf das Privacy-Shield berufen, sollten daher handeln:
Eine grundsätzlich zulässige Alternative zum EU-US-Privacy-Shield stellt etwa der Abschluss sog. Standardvertragsklauseln (SCCs – „Standard Contractual Clauses“) dar. Hierbei handelt es sich um spezielle Vertragsklauseln zwischen datenexportierenden und datenimportierendem Unternehmen, die aufgrund eines Beschlusses der EU-Kommission zur Verfügung gestellt wurden und die (soweit sie im Wesentlichen unverändert übernommen werden) geeignet sein können, ein entsprechendes Datenschutzniveau zwischen den jeweils beteiligten Parteien sicherzustellen.

Allerdings stellte der EuGH auch fest, dass Standardvertragsklauseln nur dann als Rechtsgrundlage für Datentransfers in Drittländer dienen können, wenn das Datenschutzniveau auch tatsächlich gewahrt wird. Unternehmen haben beim Einsatz von Standarddatenschutzklauseln damit nunmehr zu prüfen, ob das nationale Recht im jeweiligen Drittstaat es überhaupt ermöglicht, die Vorgaben der Vertragsklauseln einzuhalten.

Eine weitere – unter Einhaltung bestimmter Voraussetzungen - zulässige Alternative ist der Datentransfer in ein Drittland nach Art. 49 DSGVO, also aufgrund einer ausdrücklichen Einwilligung oder zur Durchführung eines Vertrages mit der betroffenen Person. Die betroffene Person ist hierbei vor Erteilung der Einwilligung in geeigneter Art und Weise über die Risiken der Datenübermittlung in ein unsicheres Drittland aufzuklären.

Wie geht es weiter? Das Urteil des EuGH ist ein echter Paukenschlag – insbesondere Big Player wie Google oder Facebook sind nun im Zugzwang. Aber auch kleine und mittelständische Unternehmen müssen umdenken: Zeitnahe Sanktionen der Datenschutzbehörden sind aus unserer Sicht zwar noch nicht zu erwarten, für die Zukunft aber durchaus. Der Datenschutz im eigenen Unternehmen sollte daher im Lichte des Urteils auf den Prüfstand gestellt und notwendige Anpassungen vorgenommen werden.
Sie haben Fragen zu diesem Thema oder rund um das Thema Datenschutz? Das Team von SCHLARMANNvonGEYSO steht Ihnen gerne beratend zur Seite.

Bild: ©pixaby