Permalink

0

Datenschutzrecht: EuGH erklärt Privacy-Shield-Abkommen für ungültig

Europäischer Gerichtshof, Urteil vom 16.07.2020 – C-311/18

Hintergrund

Bereits 2013 hatte der österreichische Jurastudent Max Schrems erstmals mit einer Beschwerde die Übermittlung personenbezogener Daten durch Facebook in die USA gerügt, da er diese vor allem aufgrund der Überwachungstätigkeiten der US-Behörden für nicht ausreichend geschützt hielt.
Daraufhin wurde 2015 das sogenannte „Safe Harbour“-Abkommen, welches ein angemessenes Schutzniveau garantieren sollte, vom Europäischen Gerichtshof für unwirksam erklärt.

Als Nachfolgeabkommen wurde 2016 das EU-US-Privacy-Shield vereinbart, was einen DSGVO-konformen Datentransfer aus der EU ermöglichen sollte. Facebook transferierte folglich weiterhin Daten in die USA, nun auf Grundlage des Privacy Shields und der Standardvertragsklauseln. Schrems klagte deshalb erneut.

Der Europäische Gerichtshof erklärte nun auch das Privacy Shield für ungültig und die Standardvertragsklauseln für nicht mehr ausreichend.

Gründe

Auf Grundlage der US-Gesetzgebung könne nicht davon ausgegangen werden, dass die Übertragung von Daten europäischer Verbraucher in ein Drittland dem Schutzniveau der DSGVO entspricht.

Die Überwachungsprogramme von US-amerikanischen Geheimdiensten, beispielweise, seien nicht auf das zwingend erforderliche Maß beschränkt. Vorrangig aber hätten die Europäer keine Klagemöglichkeit, um gegen die missbräuchliche Verarbeitung personenbezogener Daten vorzugehen.

Die Standardvertragsklauseln waren bisher nur zwischen dem Datenexporteur in der EU und einem Datenimporteur im außereuropäischen Ausland durch Vertragsschluss bindend. Auf die Zugriffsbefugnisse eines Drittstaats hatten sie daher keine Auswirkung. Der Europäische Gerichtshof hat nun entschieden, dass jeder Vertragspartner zu prüfen hat, ob derjenige Drittstaat einen nach Maßgabe des Unionsrechts angemessenen Schutz gewährleistet.

Bewertung

Das Urteil bedeutet nicht, dass keine Daten europäischer Verbraucher mehr in den USA verarbeitet werden dürfen. Vielmehr muss zukünftig bei der Übermittlung das von der EU verlangte Schutzniveau eingehalten werden; denkbar wäre es, eine ausdrückliche Einwilligung von der betroffenen Person einzuholen.
Offen bleibt die Frage also, wie die jeweiligen US-Unternehmen dieses Niveau gewährleisten werden. Wie weit dieses Urteil reicht, wird sich erst in den kommenden Wochen und Monaten zeigen.

Hagen Albus
Rechtsanwalt
TÜV-zertifizierter Datenschutzbeauftragter

Lesen Sie mehr zu den Schwerpunkten unserer Kanzlei unter www.rnsp.de.

Ihre Meinung interessiert uns!

Hinterlassen Sie uns ihr Feedback und diskutieren Sie mit uns über aktuelle wirtschaftsrechtliche Fälle aus den Bereichen Arbeitsrecht, Medizinrecht, Marken- und Designrecht sowie weiteren Themen. Wir freuen uns auf Ihre Anregungen.

Pflichtfelder sind mit * markiert.


Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.