Der EuGH hat am Donnerstag, dem 16. Juli 2020, sein lang erwartetes Urteil in der Rechtssache „Schrems II“ (C-311/18) zwischen dem EU-Datenschutzbeauftragten und Facebook Ireland Limited gefällt. Der EuGH erklärte die Privacy Shield-Regelung als Mechanismus für die Übermittlung personenbezogener Daten durch EU-Unternehmen an die USA für ungültig. Er entschied auch, dass die am meisten verwendeten Standardvertragsklauseln unter gewissen Auflagen weiterhin gültig sind.

Am 16. Juli 2020 erklärte der EuGH auch den Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy Shield für ungültig (Bildmontage: pixabay.com)

MMag. Sabine Fehringer, Partnerin und Datenschutzexpertin bei der Wirtschaftsanwaltskanzlei DLA Piper Weiss-Tessbach, kommentiert die Entscheidung folgendermaßen: “Das heutige Urteil hat gravierende Auswirkungen auf die Übermittlung personenbezogener Daten in die USA. Es handelt sich um einen Weckruf für EU-Unternehmen: Für diejenigen Unternehmen, die sich bisher auf Privacy Shield verlassen haben, muss ein alternativer Übertragungsmechanismus gefunden werden; dafür bieten sich die bereits bewährten Standardvertragsklauseln an. Vor der Verwendung von Standardvertragsklauseln müssen die Unternehmen jetzt jedoch prüfen, ob der Gesamtkontext der Übermittlung – einschließlich der Berücksichtigung des Wirtschaftssektors, der Branche und des Ziellandes – angemessene Garantien für die personenbezogenen Daten von Einzelpersonen bietet. Die EU-Datenschutzbehörden müssen Unternehmen auffordern, die Übermittlung dieser Daten auszusetzen oder zu verbieten, wenn solche angemessenen Garantien nicht gewährleistet werden können. Sie haben die wenig beneidenswerte Aufgabe, die Angemessenheit von Schutzmaßnahmen zu bestimmen. Es ist wahrscheinlich, dass dies eine weitere Runde politischer Diskussionen zwischen der EU und den USA auslösen wird.”

Hintergrund
Die DSGVO regelt auch die Übermittlung personenbezogener Daten aus der EU und setzt voraus, dass ein gültiger Übermittlungsmechanismus gemäß Kapitel V DSGVO vorhanden ist. Zu diesen Mechanismen gehören Angemessenheitsentscheidungen der Europäischen Kommission (wie z.B. bisher Privacy Shield) oder angemessene Schutzmaßnahmen wie etwa die am häufigsten verwendeten Standardvertragsklauseln.

18.8.2020 / MMag. Sabine Feringer / DLA Piper Weiss-Tessbach / www.dlapiper.com