FAQ zum EU-US-Privacy-Shield Urteil vom 16. Juli 2020

Datenübermittlungen von personenbezogenen Daten in die USA, welche rechtlich bisher auf Grundlage des jetzt nicht mehr gültigen Datenschutzabkommens vorgenommen wurden, sind jetzt nicht mehr rechtmäßig.

Es muss überprüft werden, inwiefern eine andere Rechtsgrundlage vorliegt und ggf. die Datenübermittlung gestoppt werden.

Nein. Zwar bezog sich das Datenschutzabkommen nur auf Datenübermittlungen der EU in die USA, jedoch betrifft das Abschließen von Standarddatenschutzklauseln jedes Drittland. Daher ist frühzeitig zu prüfen, inwiefern die Rechte der betroffenen Personen, insbesondere auf einen wirksamen Rechtsbehelf, und der damit verbundene Schutz der personenbezogenen Daten, in dem Drittland eingehalten werden können. Dabei ist - als Folge des Brexit - auch an eine Übermittlung personenbezogener Daten nach Großbritannien/Nordirland zu denken.

Mit der Verkündung des Urteils durch den Europäischen Gerichtshof am 16. Juli 2020 sind die Rechtsfolgen eingetreten. Es gibt keine Übergangsfrist.

Auch vor dem 16. Juli 2020 mussten Verantwortliche sich vor einer Datenübermittlung in ein Drittland davon überzeugen, dass die Bestimmungen des KDG in Bezug auf die Übermittlung der Daten im Drittland eingehalten werden können. Dies ist zumindest dann fraglich, wenn die Behörden im Drittland aufgrund dort geltenden Rechts einen relativ unbegrenzten Zugriff auf die Daten haben.

Überträgt man die Gründe des Urteils für die Ungültigkeit des Privacy Shield, dürfte es Verantwortlichen schwerlich gelingen, sich davon zu überzeugen und vertraglich wirksam zu vereinbaren, dass das Datenschutzniveau (insbesondere die Rechte betroffener Personen) bezogen auf die übermittelten Daten in den USA, dem der DS-GVO bzw. des KDG entspricht.
Falls das Datenschutzniveau im Drittland nicht dem der DS-GVO bzw. dem KDG entspricht, dürfen auch Standarddatenschutzklauseln nicht verwendet werden. Die Datenübermittlung ist solange auszusetzen bis ein der DS-GVO bzw. dem KDG entsprechendes Datenschutzniveau garantiert werden kann.

Als Alternative zur Übermittlung personenbezogener Daten in ein Drittland sollte überprüft werden, inwiefern eine Verarbeitung personenbezogener Daten bzw. die entsprechende Dienstleistung auch innerhalb der EU oder des EWR erbracht werden kann.