31.08.2020
Marc Christian Schwencke
Nils Müller

Entscheidung Schrems II des Gerichtshofs der Europäischen Union (EuGH) zur Übermittlung personenbezogener Daten in der Rechtssache C-311/18

EuGH kippt das EU-US-Privacy Shield

Das Gericht befand, dass die personenbezogenen Daten aus der EU nicht ausreichend vor den nationalen Sicherheits- und Überwachungsgesetzen der USA geschützt sind, die weitreichenden Zugriff auf personenbezogene Daten durch US-Behörden erlauben.

Quelle: Eversheds Sutherland

Unternehmen, die im Rahmen ihrer Tätigkeiten bislang personenbezogene Daten in die USA oder andere Drittländer übermittelt haben, müssen umgehend prüfen, ob der konkrete Übertragungsweg und die Datenverarbeitung beim ausländischen Datenimporteur noch einem angemessenen europäischen Datenschutzniveau entspricht. Mit der Umstellung muss ohne Verzögerung begonnen werden.

Mit Entscheidung vom 16. Juli 2020 urteilte der EuGH, dass das EU-US-Privacy Shield rechtswidrig ist. Das Gericht befand, dass die personenbezogenen Daten aus der EU nicht ausreichend vor den nationalen Sicherheits- und Überwachungsgesetzen der USA geschützt sind, die weitreichenden Zugriff auf personenbezogene Daten durch US-Behörden erlauben. Solchen Datenverarbeitungsströmen, die bislang auf dem EU-US-Privacy Shield beruhten, wurde somit ohne eine Übergangsfrist die Grundlage entzogen.

Von Unternehmen ebenfalls genutzte Standardvertragsklauseln bleiben zwar prinzipiell eine mögliche Grundlage für Datentransfers ins Nicht-EU-Ausland. Als Voraussetzung gilt aber nun zusätzlich, dass Unternehmen sicherstellen müssen, dass bei der Übermittlung von Daten in die USA und andere Drittländer auch im konkreten Fall das gleiche Datenschutzniveau wie in der Europäischen Union gewährleistet ist. Die meisten ausländischen Datenimporteure stellt dies vor erhebliche Umsetzungsschwierigkeiten, sodass die Begründung von Datentransfers in Drittländer über Standardvertragsklauseln eine prinzipiell mögliche, aber äußerst anspruchsvolle Alternative darstellt. Dieselben Anforderungen wie für Standardvertragsklauseln gelten auch für von Unternehmen genutzte Binding Corporate Rules.

Gesetzliche Ausnahmen, die Datentransfers ins Nicht-EU-Ausland erlauben, behandeln überwiegend gelegentliche oder begrenzte Datenübermittlungen, die auf die meisten Unternehmen aufgrund der Notwendigkeit Daten regelmäßig zu übermitteln, nicht zutrifft. Unternehmen könnten auch ausdrückliche Einwilligungen zur Datenverarbeitung im Ausland von Betroffenen einholen. Dabei sind sie jedoch verpflichtet, explizit über das niedrigere Datenschutzniveau in Drittstaaten aufzuklären und auf die damit verbundenen Risiken hinzuweisen.

In jedem Fall folgt aus dem EuGH-Urteil, dass personenbezogene Daten nicht mehr ohne weiteres in die USA oder ins nicht-EU-Ausland übertragen werden können. Eine hingegen datenschutzrechtlich sichere Lösung stellt die Einschaltung von europäischen Datendienstleistern dar, die personenbezogene Daten in europäischen Datencentern verarbeiten.

Das Event zum Thema
Die Autoren
Marc Christian Schwencke
Partner
Eversheds Sutherland (Germany) LLP
Nils Müller
Principal Associate
Erversheds Sutherland (Germany) LLP