Der EuGH hat heute in einer weitreichenden Entscheidung das Datenschutzabkommen „Privacy Shield“ für unwirksam erklärt.
Was ist das „Privacy Shield“? Durch das „Privacy Shield“ (Beschluss der EU-Kommission 2016/1250) konnten Unternehmen mit Sitz in der EU bislang Datentransfers in die USA (wie z. Bsp. durch die Nutzung von Diensten wie Google Analytics, Microsoft-Dienste, Mailing-Dienstleister oder Cloud-Dienste mit Sitz in den USA) rechtfertigen.
Grund dafür sind in den USA bestehende Gesetze (z. Bsp. „Cloud Act“), die Sicherheitsbehörden weitreichende Befugnisse zur Überwachung „ausländischer Kommunikation“ in die Hand geben.
Die Vereinbarung von sog. „Standardvertragsklauseln“ hat der EuGH hingegen nicht gekippt. Diese „Standardvertragsklauseln“ können als Grundlage für Datenübertragungen (auch in die USA) zu Grunde gelegt werden, aber nur, wenn in dem Zielland ein zur EU vergleichbares Datenschutzniveau vorliegt. Dies ist im Einzelfall zu prüfen.
Es kann davon ausgegangen werden, dass die EU-Kommission bald ein neues, hoffentlich verbessertes Abkommen aushandeln wird. Wie insbesondere die deutschen Datenschutz-Aufsichtsbehörden bis dahin mit dem EuGH-Urteil umgehen, bleibt abzuwarten.
Sofern Verantwortliche bis jetzt ihre Datentransfers in die USA auf das „Privacy-Shield“-Abkommen gestützt haben, dürfte dies nun nicht mehr möglich sein. Hier besteht akuter Handlungsbedarf, in jedem Fall sollte zumindest auf die „Standardvertragsklauseln“ umgestellt werden.
Unser Datenschutz-Experte RA Markus Knuth (zugleich TÜV-zertifizierter externer Datenschutzbeauftragter und Datenschutzauditor) steht Ihnen als Ansprechpartner zur Verfügung.