Unternehmen müssen ihr Datenschutzmanagementsystem möglicherweise anpassen
Der Europäische Gerichtshof urteilte am 16. Juli 2020, dass die Übermittlung personenbezogener Daten aus der Europäischen Union in die USA auf der Grundlage des zwischen der EU und den USA im Jahr 2016 ausgehandelten „Privacy Shield“ nicht mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) im Einklang steht (EuGH-Rechtssache C311/18). Damit erklärte der EuGH eine wichtige Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA für nichtig.
Insbesondere US-Unternehmen wie Microsoft, Google oder Facebook, die sich auf die Regeln des Privacy Shield eingestellt hatten, müssen nun ihr Datenschutzmanagementsystem möglicherweise anpassen. Denn bei einem Verstoß gegen die EU-Datenschutz-Grundverordnung drohen den datenschutzrechtlich Verantwortlichen hohe Geldbußen (Artikel 83 EU-DSGVO).
Die europäischen Richter erklärten den sogenannten „Angemessenheitsbeschluss“ der Europäischen Kommission, den diese im Zusammenhang mit der Umsetzung des Privacy Shields getroffen hatte, für rechtswidrig. Mit einem Angemessenheitsbeschluss kann die Europäische Kommission feststellen, dass ein Drittland über ein angemessenes Datenschutzniveau verfügt und daher personenbezogene Daten in das Drittland übertragen werden dürfen, ohne dass zuvor eine besondere datenschutzrechtliche Genehmigung eingeholt werden muss (Artikel 45 EU-Datenschutzgrundverordnung).
Der EuGH vertritt in seinem Urteil jedoch die Auffassung, dass die USA nicht ein angemessenes Datenschutzniveau im Sinne der EU-Datenschutz-Grundverordnung aufweisen. US-Behörden seien aufgrund der Gesetzeslage in den USA berechtigt, auf personenbezogene Daten zuzugreifen. Daher sei es den USA gar nicht möglich, einen effektiven Datenrechtsschutz für EU-Bürger zuzusagen.
Zwar sehe der Privacy Shield die Positionierung eines Ombudsmanns vor, der im Datenschutz die Rechte von EU-Bürgern in den USA wahrnehmen solle. Die Stellung des Ombudsmanns ist nach Einschätzung des Europäischen Gerichtshofs jedoch nicht stark genug, um die europäischen Datenschutz-Standards in den USA durchzusetzen.
Der EuGH lässt allerdings eine Datenübertragung in die USA bei rechtlich ausreichenden Standardvertragsklauseln zu. Solche Standardvertragsklauseln müssten dann aber, so der Gerichtshof, „geeignete Garantien“ zum Datenschutz enthalten. Die Prüfung, ob die von US-Konzernen verwendeten Vertragsklauseln der EU-Datenschutzgrundverordnung genügen, sei Aufgabe der zuständigen nationalen Datenschutzbehörden.