Veröffentlicht von:
Neues Facebook-Urteil zum Datenschutz - Datentransfer in die USA wird insgesamt schwieriger
- 2 Minuten Lesezeit
Mit dieser Entscheidung hat der EuGH den Privacy-Shield-Beschluss (2016/1250) zwischen der EU und den USA für ungültig erklärt. Der Beschluss der Kommission über Standardvertragsklauseln (2010/87) für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern sei hingegen gültig. Gegenstand des Verfahrens war eine Beschwerde eines EU-Bürgers gegen die Übermittlung und Verarbeitung seiner personenbezogenen Daten von Facebook Ireland an Server der Facebook Inc. mit Sitz in den USA.
Nach Art. 45 ff. DSGVO dürfen personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Dieses Schutzniveau müsse dem durch die DSGVO im Lichte der Grundrechte-Charta garantierten Niveau dem Grunde nach gleichwertig sein. Der Privacy-Shield-Beschluss räume den amerikanischen Sicherheitsbehörden umfangreiche Zugriffsbefugnisse auf die übermittelten Daten und der Einhaltung des amerikanischen Rechts im Allgemeinen Vorrang ein, wodurch Eingriffe in die Grundrechte der Personen ermöglicht werden, deren personenbezogene Daten in die USA übermittelt werden. Der Datenzugriff amerikanischer Behörden sei im Privacy-Shield-Beschluss nicht derart geregelt, dass ein gleichwertiges Schutzniveau mit den europäischen Vorgaben erzielt werde. Der Beschluss biete den betroffenen Personen insbesondere keine ausreichenden Rechtsschutzmöglichkeiten. (Aus ähnlichen Gründen hatte der EuGH das zuvor geltende „Safe-Habour“-Abkommen für ungültig erklärt.) Ein Datentransfer zwischen der EU und den USA auf alleiniger Grundlage des Privacy-Shields ist nun nicht mehr möglich.
Der Beschluss über Standardvertragsklauseln, in denen sich die Parteien auf ein angemessenes Datenschutzniveau verpflichten, sehe hingegen ausreichende Mechanismen vor, die ein angemessenes Schutzniveau gewährleisten können, sodass eine Datenübertragung personenbezogener Daten auf Grundlage solcher Klauseln weiterhin möglich ist. Der EuGH sieht die Vertragsparteien bei der Anwendung solcher Standardschutzklauseln jedoch in der Pflicht, vorab zu prüfen, ob das erforderliche Schutzniveau im Drittland eingehalten werden kann. Der Empfänger hat den Datenexporteur auf eine Nichteinhaltung der Standardschutzklauseln hinzuweisen, sodass der Datenexporteur die Datenübermittlung einstellen kann.
Die EU-Kommission hat bereits angekündigt, neue Standardvertragsklauseln herausgeben zu wollen. Es bleibt also spannend.
Artikel teilen: