EuGH erklärt EU-US-Privacy-Shield für ungültig

In dem am Donnerstag, 16. Juli 2020, verkündeten Urteil des EuGH („Schrems II“) erklärt der Gerichtshof den „Privacy Shield“ für ungültig. Zur Urteilsbegründung führt der Gerichtshof aus, dass das Datenschutzniveau der EU und damit der durch die DS-GVO festgelegte und geforderte Schutz für personenbezogene Daten bei einer Übermittlung in die USA durch das Datenschutzabkommen („Privacy Shield“) nicht gewährt werden kann.

In den Fällen, in denen Verantwortliche die Datenübermittlungen in die USA auf das nun nicht mehr gültige Datenschutzabkommen zwischen der EU und den USA gestützt haben, müssen diese nun handeln, da sie andernfalls personenbezogene Daten ohne Rechtsgrundlage in ein Drittland transferieren. Nicht für generell ungültig erklärt wurden die Standarddatenschutzklauseln der EU-Kommission nach Art. 46 Abs. 2 lit. c) und d) DS-GVO.

Bei der Verwendung von Standarddatenschutzklauseln müssen die Einrichtungen jedoch künftig bei der Übermittlung personenbezogener Daten in ein Drittland überprüfen, ob dort -evtl. auch durch zusätzliche vertragliche Vereinbarungen- ein angemessenes Datenschutzniveau hergestellt werden kann und diese Vereinbarungen eingehalten werden können. Nur in diesem Fall können die Standarddatenschutzklauseln eine Rechtsgrundlage für die Übermittlung personenbezogener Daten in ein Drittland darstellen. Daher obliegt den Verantwortlichen in den kirchlichen Einrichtun-gen eine Rechtsprüfung, inwiefern das Datenschutzniveau im jeweiligen Drittland dem der DS-GVO entspricht bzw. dort von den Vertragspartnern eingehalten werden kann.

Das Urteil betrifft für die Anwendung der Standarddatenschutzklauseln alle Datenübertragungen in Drittländer, die keinem Angemessenheitsbeschluss nach Art. 45 DS-GVO unterfallen. Durch den Wegfall des „Privacy Shield“ fehlt ein solcher Beschluss jetzt auch für die USA. Nach den Ausfüh-rungen des EuGH (insbesondere Rn. 185/197) ist für die USA auch der Einsatz von Standarddatenschutzklauseln nicht mehr möglich.

Der EuGH hat auch die Erwartung geäußert, dass die europäischen Datenschutzaufsichten eine einheitliche Auslegung unter den Aufsichtsbehörden herbeiführen.

Die Datenschutzaufsichten arbeiten derzeit noch intensiv an dieser einheitlichen Auslegung und stimmen sich ab. Sofern bisher vorgenommene Übermittlungen personenbezogener Daten in die USA nun nicht mehr auf eine gültige Rechtsgrundlage gestützt werden können, werden die Diöze-sandatenschutzbeauftragten die Vorgaben des Urteils umsetzen; das erfordert aber intensive Un-tersuchungen zu der Frage, wie -ohne Gefährdung des laufenden Betriebs- ein Ausstieg möglich ist. Das mag in einigen Bereichen schneller gehen und in anderen länger dauern.

Weitere Informationen und Antworten finden Sie unter: Fragen und Antworten.