typomaniac - Fotolia
US-Datentransfer: EuGH erklärt Privacy Shield für ungültig
Wenn personenbezogene Daten in die USA übertragen werden, geschieht dies unter anderem auf Basis des so genannten Privacy Shield. Dieses hat der EuGH nun für ungültig erklärt.
Wenn personenbezogene Daten in ein Drittland übermittelt werden, dann darf das nur geschehen, wenn in dem betreffenden Land ein angemessenes Schutzniveau gewährleistet ist – so die EU-Datenschutz-Grundverordnung (DSGVO). Beim Datentransfer entsprechender Daten in die USA geschieht dies unter anderem auf Basis des so genannten Privacy Shield. Eine Beschwerde des Datenschützers Max Schrems bezüglich der Übertragung personenbezogener Daten, der oft als Schrems II bezeichnete Fall, ist vor dem Europäischen Gerichtshof gelandet.
Der Europäische Gerichtshof hat nun in einem Beschluss (PDF) die Datenschutzvereinbarung mit den USA, die unter der Bezeichnung Privacy Shield bekannt ist, für ungültig erklärt. Dies betrifft allerdings nicht die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern. Diese sind weiterhin gültig. So heißt es in der Pressemitteilung des Europäischen Gerichtshofs: „Mit seinem heute verkündeten Urteil stellt der Gerichtshof fest, dass die Prüfung des Beschlusses 2010/87 über Standardvertragsklauseln anhand der Charta der Grundrechte der Europäischen Union nichts ergeben hat, was seine Gültigkeit berühren könnte. Den Privacy Shield-Beschluss 2016/1250 erklärt er hingegen für ungültig.“ Eine Datenübertragung mit entsprechenden Standardvertragsklauseln bleibt somit möglich.
Unternehmen, die entsprechende Daten übertragen, müssen sich nun Gedanken machen. Welche Folgen und welchen Handlungsbedarf dies unter Umständen haben kann lesen Sie in dem Beitrag „Datentransfer in die USA, das Privacy Shield und der EuGH“.