Ein Standbein weniger – EuGH erklärt Privacy Shield für unwirksam
17.07.20 / Dr. Benjamin Wübbelt
Mit dem gestern verkündeten Urteil hat der EuGH ein weiteres Mal das Datenschutzniveau der Vereinigten Staaten einer gründlichen Prüfung unterzogen und in diesem Zusammenhang den „Privacy Shield“-Beschluss der EU-Kommission für ungültig erklärt.
Um den internationalen Datenverkehr nicht ins Stocken geraten zu lassen, hatte die EU-Kommission mit dem „Privacy Shield“-Beschluss im Jahr 2016 festgestellt, dass die USA ein angemessenes datenschutzrechtliches Schutzniveau gewährleisten, was die transatlantische Datenübermittlung für Unternehmen enorm vereinfachte. Dieser Beschluss war unter hohem politischem Druck zustande gekommen, hatte der EuGH doch kurz zuvor im Jahr 2015 die vorangegangene „Safe Harbour“-Entscheidung der EU-Kommission für ungültig erklärt. Die heutige Argumentation des Gerichts erinnert an das damalige Urteil. Die Überwachungsgesetze der USA seien schlechterdings zu weitreichend, um die Daten von Unionsbürgern angemessen zu schützen, Rechtsschutzmöglichkeiten für Unionsbürger zu ineffektiv. Ombudspersonen, die als Konsequenzen des „Safe Harbour“-Urteils installiert wurden, seien zu wenig unabhängig und in ihren Möglichkeiten zu beschränkt.
Privacy Shield kann folglich nicht mehr als Grundlage für die transatlantische Datenübermittlung herangezogen werden. Für Unternehmen ist damit ein wichtiges Standbein weggebrochen. Datenübermittlungen in Drittstaaten auf der Grundlage von Standardvertragsklauseln sind jedoch nach wie vor zulässig. Die Verwendung derartiger Vertragsmuster ist – auch nach dem Urteil des EuGH – weiterhin zulässig. Dies gilt allerdings nur dann, wenn die Rechtsordnung des Drittstaats überhaupt die Einhaltung der Standardvertragsklauseln ermöglicht. Ob dies in den USA der Fall ist, muss nach dem heutigen Urteil skeptisch hinterfragt werden, bleibt aber abzuwarten.