Datenübermittlungen in die USA nach der Privacy Shield - Entscheidung

Der EuGH hat mit Urteil vom 16. Juli 2020 (C-311/18) das Datenschutzabkommen „Privacy-Shield“ zwischen der EU und den USA für unwirksam erklärt und damit für weitreichende Auswirkungen für grenzüberschreitende Datenübermittlungen in Drittländern gesorgt. Eine Datenübermittlung in die USA allein auf Basis des Privacy Shields ist nun nicht mehr zulässig, da u. a. aufgrund der weitreichenden Zugriffsbefugnisse der amerikanischen Sicherheitsbehörden auf die übermittelten Daten und der unzureichenden Rechtsschutzmöglichkeiten kein ausreichendes Schutzniveau erzielt werden könne, das den europäischen Vorgaben entspreche.

Die im Kommissionsbeschluss 2010/87/EU enthaltenen Standarddatenschutzklauseln bleiben grundsätzlich weiterhin wirksam, obwohl sie drittstaatliche Behörden nicht binden und damit nicht immer ein ausreichendes Mittel darstellen, um einen ausreichenden Schutz der in das jeweilige Drittland übermittelten Daten zu gewährleisten. Wenn und soweit für das betreffende Drittland kein Angemessenheitsbeschluss gem. Art. 45 Abs. 1 DS-GVO existiert oder dieser unwirksam ist, haben die Verantwortlichen eine Einzelfallprüfung durchzuführen um festzustellen, ob die Standarddatenschutzklauseln unter Berücksichtigung des geltenden Rechts im Drittland einen angemessenen und effektiven Schutz gewährleisten oder ob ggf. zusätzliche Garantien, insbesondere durch technische und organisatorische Maßnahmen, zu treffen sind.

Die EU und die USA verhandeln derzeit über eine einer Neuregelung für transatlantische Datenübermittlungen.

Unter Berücksichtigung der Privacy Shield-Entscheidung werden den Betroffenen u. a. folgende Sofortmaßnahmen empfohlen, um relevante Sachverhalte mit Drittlandbezug aufzuklären, angemessen zu dokumentieren und aufgrund einer fundierten Informationsgrundlage eine (Risiko-)Entscheidung über das weitere Vorgehen zu treffen:

1. Identifikation und Evaluation von Drittlandübermittlungen.
2. Umstellung der Übermittlungspraxis, sofern sich diese bisher auf das Privacy-Shield stützt.
3. Auf Ausnahmen i. S. d. Art. 49 DS-GVO zurückgreifen, insbesondere durch Einwilligung der Betroffenen.
4. Auf Binding Corporate Rules, Codes of Conduct und Zertifizierungen zurückgreifen.
5. Ggf. Einsatz technischer Maßnahmen, wie bspw. eine Anonymisierung oder Pseudonymisierung der Daten oder die Verwendung von Verschlüsselungstechnologien.