EuGH erklärt Privacy-Shield- Vereinbarung für ungültig
20.07.2020 - Mitte Juli entschied der Europäische Gerichtshof, dass die Datenschutzvereinbarung Privacy Shield zwischen der EU und den USA ungültig ist.
von Susanne Broll
Das seit 2016 geltende Privacy-Shield-Abkommen regelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen. Sie verpflichten sich auch, Betroffene über die Datennutzung zu unterrichten und wesentliche Datenschutzregeln einzuhalten. Der EuGH
erklärte die Privacy-Shield-Verordnung nun für ungültig. Die Luxemburger Richter begründeten ihr Urteil damit, dass das Privacy Shield die Anforderungen für einen dem Unionsrecht gleichwertigen Datenschutz nicht erfülle. Es fehle insbesondere eine Regelung, mit der Betroffene ihre Rechte gegenüber amerikanischen Institutionen durchsetzen könnten. Der EuGH-Entscheid stellt die Datenübermittlung aber nicht grundsätzlich infrage. Auf Basis sogenannter Standardvertragsklauseln, die die EU für die Datenermittlung erstellt hat, können Nutzerdaten von EU-Bürgern weiterhin in die USA und in andere Staaten übertragen werden.
Der Bundesverband Digitale Wirtschaft (BVDW)
kritisiert das Urteil des EuGH. "Der Wegfall des EU-US Privacy Shields hat erneut erhebliche Auswirkungen auf die Digitalwirtschaft in Gänze und belastet insbesondere auch kleine und mittelständische EU-Unternehmen", sagt BVDW-Vizepräsident Thomas Duhr
. Der BVDW begrüßt zwar, dass der EuGH die Rechtmäßigkeit von Datentransfers auf der Basis von Standardvertragsklauseln weiterhin erlaubt, wodurch grundsätzlich Nutzerdaten von EU-Bürgern in andere Staaten übertragbar bleiben. "Unternehmen benötigen aber auch in dynamischen Märkten wie der Digitalwirtschaft dauerhafte und langfristig stabile rechtliche Rahmenvorgaben", so Duhr.
Angestoßen hatte das Verfahren der österreichische Datenschützer Max Schrems
. Er hatte Beschwerde bei der Datenbehörde in Irland eingereicht, wo der Social-Media-Riese Facebook
seinen europäischen Sitz hat, und wollte verhindern, dass die europäische Tochter des Sozialen Netzwerks seine personenbezogenen Daten (z.B. Name, Anschrift, IP-Adresse, etc.) an den Mutterkonzern in die USA weiterleitet. Er kritisierte, dass in den USA nicht nur Unternehmen auf die Daten zugreifen können, sondern auch Geheimdienste, ohne dass Betroffene dagegen vorgehen können.