Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16. Juli 2020 den Beschluss der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt.

Laut Gericht genügt das Abkommen den Anforderungen der DS-GVO nicht.
Die Unternehmen, die sich bei Übermittlungen von personenbezogenen Daten in die USA alleine auf das Privacy Shield Abkommen verlassen haben müssen jetzt handeln.

Für den Datentransfer müssen neue Verträge geschlossen werden, die sich auf andere Regularien stützen, beispielsweise EU-Standardvertragsklauseln.
Dies hängt jedoch davon ab, ob die Vertragsregelung wirksame Mechanismen enthält, die es in der Praxis ermöglichen, die Einhaltung des Schutzniveaus sicherzustellen, das dem in der EU durch die DSGVO garantierten im Wesentlichen gleichwertig ist, und dass die Übermittlung personenbezogener Daten gemäß diesen Klauseln ausgesetzt oder untersagt wird, wenn diese Klauseln verletzt werden oder nicht eingehalten werden können.
In diesem Zusammenhang weist das Gericht insbesondere darauf hin, dass der Beschluss 2010/87/EU (Beschluss zu den EU-Standardvertragsklauseln) einen Datenexporteur und den Datenempfänger (den „Datenimporteur“) verpflichtet, vor jeder Datenübermittlung und unter Berücksichtigung der Umstände der Datenübermittlung zu prüfen, ob dieses Schutzniveau in dem betreffenden Drittland eingehalten wird, und dass der Datenimporteur nach dem Beschluss 2010/87/EU verpflichtet ist, den Datenexporteur darüber zu informieren, dass er nicht in der Lage ist, die Standarddatenschutzklauseln einzuhalten, und gegebenenfalls zusätzliche Maßnahmen zu den durch diese Klausel angebotenen Maßnahmen zu ergreifen, wobei der Datenexporteur dann seinerseits verpflichtet ist, die Übermittlung der Daten auszusetzen und/oder den Vertrag mit dem Datenimporteur zu beenden.

Damit Unternehmen, die Datenübermittlungen in die USA bislang auf das Privacy Shield gestützt haben, klären können ob weiterhin Daten übermittelt werden dürfen, raten wir dringend dazu einen Handlungsplans zum Thema Privacy Shield zu erstellen und abzuarbeiten.

Der Handlungsplan sollte folgende Schritte enthalten:
- Ermittlung aller Datenübermittlungen in Drittländer (hierbei auch Auftragsverarbeiter oder deren Unterauftragnehmer berücksichtigen)
- Identifizierung der Drittlandübermittlungen, die sich bislang auf das Privacy Shield gestützt haben
- Prüfen, ob Alternativen möglich sind, insbesondere der Abschluss von EU-Standardvertragsklauseln (hierbei auch prüfen, ob das EU-Datenschutzniveau im dem betreffenden Drittland eingehalten wird)
- Gefundene Alternativen etablieren oder die Übermittlung beenden

Ihr/e Datenschutzbeauftragte/r kann und wird Sie hierbei unterstützen.

Quellen
Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 28.07.2020
FAQ des Europäischen Datenschutzausschusses zum Urteil des EuGHs zur Wirksamkeit des Privacy Shields (deutsche, nicht verifizierte Übersetzung)