Das Ende des EU-US Privacy Shield

Der Europäische Gerichtshof (EuGH) hat heute die EU-US-Datenschutzvereinbarung «EU-US Privacy Shield» gekippt. Hintergrund des Entscheids ist eine Beschwerde des österreichischen Juristen und Datenschutzaktivisten Max Schrems. Dieser hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet. Die Beschwerde wurde damit begründet, dass Facebook in den USA dazu verpflichtet sei, US-Behörden wie der NSA und dem FBI die Daten zugänglich zu machen, ohne dass sich betroffene Personen dagegen wehren könnten.

Der Entscheid des EuGH dürfte drastische Auswirkungen auf viele Unternehmen innerhalb des EWR und in der Schweiz haben, die auf den EU-US Privacy Shield vertraut haben, da die Datenübertragung personenbezogener Daten in die USA nun in vielen Fällen unzulässig ist. Abzuwarten bleibt, ob dieser Entscheid auch Auswirkungen auf den «Swiss-U.S. Privacy Shield» haben wird, für den sich Unternehmen aus den USA seit dem 12. April 2017 zertifizieren lassen können.

Nach der Verordnung (EU) 2018/1725 darf eine internationale Übermittlung von Personendaten nur dann erfolgen, wenn im Empfängerland ein angemessener Schutz der Grundrechte der betroffenen Personen mit Blick auf den Datenschutz gegeben ist. Bis zum 20. Juli 2000 galten Übermittlungen an US-Einrichtungen, die der Safe-Harbor-Regelung beigetreten sind, gemäss Entscheidung 2000/520/EG der Europäischen Kommission als angemessen. Allerdings wurde diese Angemessenheitsentscheidung vom EuGH am 6. Oktober 2015 für ungültig erklärt, sodass auf dieser Grundlage keine Übermittlungen an die Vereinigten Staaten mehr erfolgen können. Im Februar 2016 vereinbarten die Europäische Kommission und die USA einen neuen Rahmen für transatlantische Datenübermittlungen. Der sogenannte „EU-US Privacy Shield“ hat die Safe-Harbor-Regelung ersetzt, was dazu führte, dass am 12. Juli 2016 eine neue Angemessenheitsentscheidung der Europäischen Kommission für die Übermittlung an US-Einrichtungen, die dem EU-US Privacy Shield beigetreten sind, offiziell angenommen wurde.

Nun hat der EuGH nach der Safe-Harbor-Regelung auch den EU-US Privacy Shield für ungültig erklärt. Nach Ansicht des EuGH sind die Überwachungsgesetze der USA zu weitreichend, als dass der EU-US Privacy Shield die betroffenen Personen angemessen vor ihnen schützen könne. Der EuGH hat allerdings auch klargestellt, dass Personendaten von betroffenen Personen weiterhin auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden können.

Auch wenn dieser Entscheid längerfristig Auswirkungen auf die Gesetzeslage in den USA haben dürfte, liegt die primäre Verantwortung für den Schutz der Personendaten weiterhin bei den Unternehmen, welche Personendaten in die USA übertragen.

Falls Sie Fragen zur Übertragung von Personendaten in die USA haben oder sicherstellen möchten, dass eine laufende Übertragungen auch künftig auf einer ausreichenden Rechtsgrundlage beruht, steht Ihnen unser Datenschutzteam gerne zur Verfügung.

Juli 2020 | Autor: Michael Kunz

Ihr Team

Ihr Kontakt

Wünschen Sie, dass wir Sie kontaktieren? Bitte füllen Sie das Formular aus und unsere Berater setzen sich gerne persönlich mit Ihnen in Verbindung.