Startseite Recht und Steuern ·

EuGH erklärt Privacy Shield für ungültig

© putilov_denis / Adobe Stock

Mit seinem Beschluss vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) festgestellt, dass der Privacy Shield-Beschluss 2016/1250 der EU-Kommission den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechtes Vorrang vor den Eingriffen in die Grundrechte der Person einräumt, deren Daten in die Vereinigten Staaten übermittelt werden. Die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme sind nicht auf das zwingend erforderliche Maß beschränkt. Insbesondere sei den betroffenen Personen kein Rechtsweg eröffnet, der Garantien für eine unabhängige Ombudsperson böte. Ferner bemängelte das Gericht, dass es keine Garantien gäbe, dass eine solche Ombudsperson dazu ermächtigt sei, gegenüber den amerikanischen Nachrichtendiensten verbindliche Entscheidungen zu erlassen. Deshalb hat der Gerichtshof den Beschluss 2016/1250 für ungültig erklärt.

Hingegen hat das Gericht die Nutzung von Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländer bestätigt. Die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union habe laut Gerichtshof nichts ergeben, was seine Gültigkeit berühren könnte. Sofern personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt werden, müssten sie ein Schutzniveau genießen, das dem in der Union durch die DSGVO garantierten Niveau gleichwertig ist. Wenn die zuständige Aufsichtsbehörde der Meinung ist, dass die Standarddatenschutzklauseln in einem Drittland nicht eingehalten werden oder nicht eingehalten werden können, ist sie verpflichtet, die auf diese Vertragsklauseln gestützte Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten.

Ebenfalls hat der EuGH klargestellt, dass die Datenschutz-Grundverordnung für die Übermittlung personenbezogener Daten in ein Drittland auch Anwendung findet, wenn diese Daten im Anschluss von den Behörden des Drittlandes für Zwecke der öffentlichen Sicherheit, der Landesverteidigung und der Sicherheit des Staates verarbeitet werden können. Zugrunde gelegen hat dem Urteil ein Klagverfahren eines Nutzers von Facebook.

Für Unternehmen, die personenbezogene Daten auch zukünftig in die USA übermitteln möchten, bedeutet dies, dass sie, sofern nicht ohnehin bereits vereinbart, Standardvertrags­klauseln nutzen müssten.

Weitergehende Informationen entnehmen Sie bitte der Pressemitteilung des EuGHs.