Der Europäische Gerichtshof (EuGH) hat vergangenen Donnerstag die Privacy-Shield-Regelung als Mechanismus für die Übermittlung personenbezogener Daten durch EU-Unternehmen an die USA für ungültig erklärt. [...]
Der Europäische Gerichtshof (EuGH) fällte am Donnerstag sein lang erwartetes Urteil in der Rechtssache „Schrems II“ (C-311/18) zwischen dem EU-Datenschutzbeauftragten und Facebook Ireland Limited. Der EuGH erklärte die Privacy Shield-Regelung als Mechanismus für die Übermittlung personenbezogener Daten durch EU-Unternehmen an die USA für ungültig. Er entschied auch, dass die am meisten verwendeten Standardvertragsklauseln unter gewissen Auflagen weiterhin gültig sind.
Sabine Fehringer, Partnerin und Datenschutzexpertin bei DLA Piper Weiss-Tessbach, kommentiert die Entscheidung folgendermaßen: „Das Urteil hat gravierende Auswirkungen auf die Übermittlung personenbezogener Daten in die USA. Es handelt sich um einen Weckruf für EU-Unternehmen: Für diejenigen Unternehmen, die sich bisher auf Privacy Shield verlassen haben, muss ein alternativer Übertragungsmechanismus gefunden werden; dafür bieten sich die bereits bewährten Standardvertragsklauseln an. Vor der Verwendung von Standardvertragsklauseln müssen die Unternehmen jetzt jedoch prüfen, ob der Gesamtkontext der Übermittlung – einschließlich der Berücksichtigung des Wirtschaftssektors, der Branche und des Ziellandes – angemessene Garantien für die personenbezogenen Daten von Einzelpersonen bietet. Die EU-Datenschutzbehörden müssen Unternehmen auffordern, die Übermittlung dieser Daten auszusetzen oder zu verbieten, wenn solche angemessenen Garantien nicht gewährleistet werden können. Sie haben die wenig beneidenswerte Aufgabe, die Angemessenheit von Schutzmaßnahmen zu bestimmen. Es ist wahrscheinlich, dass dies eine weitere Runde politischer Diskussionen zwischen der EU und den USA auslösen wird.“
Hintergrund
- Die DSGVO regelt auch die Übermittlung personenbezogener Daten aus der EU und setzt voraus, dass ein gültiger Übermittlungsmechanismus gemäß Kapitel V DSGVO vorhanden ist. Zu diesen Mechanismen gehören Angemessenheitsentscheidungen der Europäischen Kommission (wie z.B. bisher Privacy Shield) oder angemessene Schutzmaßnahmen wie etwa die am häufigsten verwendeten Standardvertragsklauseln.
- Dies ist nicht das erste Mal, dass der EuGH einen Transfermechanismus für ungültig erklärt hat. Im Jahr 2015 hat der EuGH in einem Fall, der gemeinhin als Schrems I bezeichnet wird, den EU-U.S.-Rahmen Safe Harbor (der Vorläufer des Privacy Shield) für ungültig erklärt. Dem lag ebenfalls eine Beschwerde des österreichischen Datenschutzaktivisten Max Schrems zugrunde. Im Mittelpunkt stand die Tatsache, dass die US-amerikanischen Überwachungsgesetze keinen angemessenen Schutz für personenbezogene Daten aus der EU boten.
- Wenn der grenzüberschreitende Fluss personenbezogener Daten ernsthaft gestört oder beendet würde, könnten die negativen Auswirkungen auf das BIP der EU zwischen minus 0,8 Prozent und minus 1,3 Prozent liegen, so die von der BSA Software Alliance vorgelegten Nachweise. Dies entspräche etwa dem drei- bis vierfachen des wirtschaftlichen Rückgangs, den Europa während des Wirtschaftsabschwungs 2012 erlebte.
Be the first to comment