EuGH erklärt Beschluss über EU-US-Datenschutzschild für ungültig – Standarddatenschutzklauseln grundsätzlich zulässig, aber im Einzelfall zu überprüfen (C-311/18 "Schrems II")

Der Europäische Gerichtshof (EuGH) hat entschieden, dass der EU-US-Datenschutzschild keine geeignete Grundlage für Datenübermittlungen in die USA ist. Standarddatenschutzklauseln können grundsätzlich weiter eingesetzt werden, sind aber – wie bisher – von den Verwendern und Aufsichtsbehörden im Einzelfall zu überprüfen. Wir informieren über das Urteil und die Konsequenzen für Verantwortliche und Auftragsverarbeiter.

Hier der Text des Urteils

Und die Pressemitteilung des Europäischen Gerichtshofes

Was hat der Europäische Gerichtshof entschieden?

Der Europäische Gerichtshof hat bestimmte rechtliche Instrumente überprüft, die für die Datenübermittlung in die USA eingesetzt werden (EU-US-Privacy-Shield) bzw. die für die Datenübermittlung in alle Länder außerhalb der EU und des europäischen Wirtschaftsraums eingesetzt werden können (Standarddatenschutzklauseln).

Mit dem Urteil wird ein Beschluss der Europäischen Kommission für ungültig erklärt, der das EU-US-Privacy-Shield betrifft (Angemessenheitsbeschluss). Wer nach der Datenschutz-Grundverordnung (DS-GVO) Daten in die USA übermitteln möchte, kann sich deshalb nicht mehr auf diese Angemessenheitsentscheidung berufen, sondern muss dafür andere rechtliche Instrumente einsetzen. Es gibt keine Übergangsfrist, in der der Privacy Shield noch im Sinne der DS-GVO eingesetzt werden kann. Das Urteil hat zudem Beschlüsse der Europäischen Kommission als rechtmäßig bestätigt, die Standarddatenschutzklauseln betreffen. Aus solchen Standarddatenschutzklauseln können grundsätzlich die nötigen Garantien bestehen, die für die Datenübermittlung in Länder außerhalb der EU und des europäischen Wirtschaftsraums vorgesehen werden (Standarddatenschutzklauseln, Artikel 46 Abs. 2 Buchstabe c DS-GVO). Allerdings müssen die Verwender dieser Klauseln selbst prüfen, ob diese Garantien ausreichend sind oder durch weitere Maßnahmen ergänzt werden müssen – besonders, wenn im Ziel-Land schlechte Datenschutzbedingungen herrschen. Ein Daten-Exporteur, der bereits Standardvertragsklauseln verwendet, hat sich damit verpflichtet, die Datenübermittlung auszusetzen, falls die Klauseln im Ziel-Land nicht eingehalten werden, oder zumindest die zuständige Aufsichtsbehörde zu informieren. Sind solche Klauseln nicht ausreichend und sind insoweit keine geeigneten Zusatzmaßnahmen getroffen, können die Datenschutzbehörden anordnen, dass die Übermittlung auszusetzen ist.

Was machen die Datenschutzaufsichtsbehörden?

Die deutschen und die europäischen Aufsichtsbehörden arbeiten zusammen, um das Urteil des EuGH einheitlich zu verstehen und umzusetzen. Sie arbeiten auch an Empfehlungen für die Rechtsanwender. Der Europäischen Datenschutzausschuss bietet der EU-Kommission Unterstützung an, wenn es darum geht, einen neuen Rahmen für Datenübermittlungen in die USA zu erstellen. Der Europäische Datenschutzausschuss prüft zudem, welche Zusatzmaßnahmen getroffen werden könnten für den Fall, dass Standarddatenschutzklauseln für ein bestimmtes Ziel-Land noch keine ausreichenden Garantien bieten. Insgesamt wird der Europäischen Datenschutzausschuss an Leitlinien für Rechtsanwender arbeiten, die das Urteil berücksichtigen. Die deutschen Aufsichtsbehörden arbeiten an den Entscheidungen des Europäischen Datenschutzausschusses mit und koordinieren sich in Deutschland. Mit Beschwerden von betroffenen Personen werden sich die Aufsichtsbehörden befassen und sie angemessen untersuchen. Leitlinien und allgemeine Beratung veröffentlichen wir sobald wie möglich auf unseren Internetseiten.