Der EuGH (Schrems II-Urteils des EuGH (C-311/18)) hat in der letzten Woche ein Urteil zur Übermittlung von personenbezogenen Daten in die USA erlassen. In diesem hat er die sogenannte „Privacy Shield“-Regelung der EU-Kommission für unwirksam erklärt. Das Privacy Shield wurde 2016 entwickelt, um das seinerzeit vom EuGH für unwirksam erklärte Safe-Harbour-Abkommen zu ersetzen. Der EuGH ist der Ansicht, dass der Zugriff durch die US-Behörden durch das Privacy Shield nicht hinreichend so geregelt ist, dass für die Betroffenen und ihre Daten in den USA ein gleichwertiges Schutzniveau, wie in der DSGVO, gegeben ist. Das aber fordert Art. 45 DSGVO. Die getroffenen Vorgaben würden nicht ausreichen, weshalb der Gerichtshof den Angemessenheitsbeschluss der Kommission zum Privacy Shield für ungültig erklärt hat.

Die Folge des Urteils des EuGH ist, dass z.B. die Inanspruchnahme von US-Dienstleistern, die nur auf Basis des sogenannten „Privacy Shield“ erfolgt, seit letztem Donnerstag unzulässig und ggf. damit rechtswidrig ist. Aus der Rechtswidrigkeit allein können wiederum unmittelbar Bußgeldrisiken resultieren, sodass hier zügig gehandelt werden muss. Die Datenverarbeitungen wären daher entweder sofort einzustellen oder es ist notwendig, eine andere rechtliche Grundlage zu schaffen.

Grundsätzlich wäre eine die Alternative, dass auf die sog. EU-Standardvertragsklauseln umgestellt wird. Auch wenn das im jetzigen Szenario die zunächst beste Möglichkeit wäre, ist es leider keine Dauerlösung. Denn auch die Verwendung der EU-Standardvertragsklauseln wird im Falle der USA in vielen Fällen dazu führen, dass Aufsichtsbehörden bei einer Prüfung die jeweilige Datenverarbeitung als unzulässig einschätzen und ahnden können, solange nicht die USA bessere Rechtsschutzmöglichkeiten gegen staatliche Überwachung einräumen. Zunächst sind die EU-Standardvertragsklauseln aber noch wirksam. Gegebenenfalls müssen weitere Garantien vereinbart werden.

Um zu prüfen, ob Handlungsbedarf besteht, sollte Folgendes geprüft werden:

  1. Werden Daten in die USA übermittelt?
  2. Erfolgt dieser Datentransfer auf Basis des „Privacy Shields“ oder EU-Standardvertragsklauseln?
  3. Wenn die Basis nur das „Privacy Shield“ ist, prüfen Sie Alternativen.

Sollten Sie eine Übermittlung auf Basis des „Privacy Shields“ vornehmen, kommen Sie bitte auf uns zu, damit wir eine Lösung finden können.