Mit Urteil vom 16.07.2020 hat der Europäische Gerichtshof das EU-US Privacy Shield-Abkommen zwischen der EU und den USA ab sofort für ungültig erklärt. Eine Übermittlung von personenbezogenen Daten in die USA auf dieser Grundlage ist damit nicht mehr möglich. Hintergrund der Entscheidung war ein Rechtsstreit über die Zulässigkeit der Übermittlung personenbezogener Daten durch Facebook Irland an die Facebook Inc. mit Sitz in den USA. 

Der Europäische Gerichtshof begründete seine Entscheidung zum einen mit den weitreichenden Zugriffsbefugnissen der US-Geheimdienste und US-Behörden auf personenbezogene Daten, die von dort ansässigen Unternehmen nach den geltenden US-Gesetzen nicht abgewehrt werden könnten. Zum anderen würden betroffenen Personen nach amerikanischem Recht keine durchsetzbaren Abwehransprüche gegen US-Behörden eingeräumt, ein Rechtsweg stünde nicht hinreichend offen. Mangels eines angemessenen Schutzes für die in die USA übermittelten Daten sei der EU-US Privacy Shield ungültig und die Übermittlung in die USA auf seiner Grundlage nicht mehr möglich.

Grundsätzlich weiterhin möglich ist nach der Entscheidung des Europäischen Gerichtshofs die Datenübermittlung ins EU-/EWR-Ausland auf Grundlage der EU-Standardvertragsklauseln. Da die Standardvertragsklauseln nur die Vertragsparteien und nicht die Behörden des jeweiligen Drittlandes binden, müsse geprüft werden, ob die nationale Gesetzgebung des Empfängerlandes eine angemessene Sicherheit dafür biete, dass die in den Datenschutzklauseln enthaltenen Pflichten auch eingehalten werden könnten. Sei dies – wie bei Übermittlungen in die USA – nicht der Fall, müssten unbedingt zusätzliche Maßnahmen zum Schutz der Daten ergriffen werden. Ansonsten müsse eine Übermittlung mangels ausreichenden Schutzes von den Datenschutzaufsichtsbehörden ausgesetzt oder untersagt werden. 

Die Entscheidung hat damit nicht nur Auswirkungen auf Datenübermittlungen in die USA, sondern allgemein auf alle Fälle, in denen personenbezogene Daten in Drittländer außerhalb der EU bzw. des EWR übermittelt werden. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg veröffentlichte vor dem Hintergrund des Urteils am 25.08.2020 eine Orientierungshilfe für die Übermittlung personenbezogener Daten in das EU-/EWR-Ausland, die am 07.09.2020 modifiziert wurde. Darin wird noch einmal klargestellt, dass Übermittlungen auf Grundlage des EU-US Privacy Shield-Abkommens rechtswidrig und ohne Übergangsfrist zu unterlassen sind; bei Zuwiderhandlung drohen Bußgelder und Schadenersatzforderungen. 

Der Landesbeauftragte für Datenschutz und Informationsfreiheit legt Verantwortlichen in seinen Orientierungshilfen zudem folgende Handlungsschritte nahe:

Prüfung, ob personenbezogene Daten durch den Verantwortlichen selbst oder durch (Unter-) Auftragsverarbeiter in Drittländer übermittelt werden;
Datenübermittlungen in die USA, die noch auf den EU-US Privacy Shield gestützt werden, sollen umgehend ausgesetzt werden;
mit Dienstleistern/Vertragspartnern in Drittländern in Verbindung setzen;
sich über die Rechtslage im Drittland informieren;
alternative Rechtsgrundlagen des Drittlandtransfers vereinbaren (Standarddatenschutzklauseln samt Ergänzungen und zusätzliche Maßnahmen, Binding Corporate Rules);
alternative Datenverarbeitung innerhalb der EU suchen, die Suche dokumentieren und nach Möglichkeit Alternativangebote nutzen, um so einen Drittlandtransfer generell zu vermeiden;
Verarbeitungsverzeichnisse anpassen;
Datenschutzinformationen anpassen.

Sollten im Rahmen Ihrer geschäftlichen Prozesse personenbezogene Daten in Drittländer außerhalb von EU und EWR übermittelt werden, gehen Sie die Handlungsschritte Punkt für Punkt durch. Wir unterstützen Sie gerne dabei.