EuGH erklärt datenschutzrechtliche Absprache zwischen der EU und den USA aus dem Jahr 2016 für ungültig – Facebook & Co. dürfen europäische Nutzerdaten nicht unter Berufung auf Privacy Shield in USA weiterleiten.

Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 in der Rechtssache C-311/18 Data Protection Commissioner/Maximillian Schrems und Facebook Ireland

Der EuGH hat den Privacy Shield, einen im Jahr 2016 ausgehandelten Pakt zum transatlantischen Austausch personenbezogener Daten zu kommerziellen Zwecken zwischen der EU und den USA, mit Urteil vom 16. Juli 2020 für ungültig erklärt. Damit haben die Luxemburger Richter im Streit über datenschutzkonforme Datentransfers in Drittstaaten ein wichtiges Grundsatzurteil gefällt.

Konsequenz des Urteils ist, dass Unternehmen die Daten ihrer europäischen Nutzer nicht mehr in die USA weiterleiten dürfen. Tun sie es trotzdem, verstoßen sie gegen die Datenschutzgrundverordnung, was hohe Bußgelder zur Folge haben kann. Neben sozialen Netzwerken sind von diesem Urteil besonders auch Cloud-Anbieter betroffen.

Dem Urteil vorangegangen war eine Beschwerde des österreichischen Datenschützers Maximilian Schrems bei der irischen Datenschutzbehörde über die Weiterleitung seiner Nutzerdaten durch Facebook in die USA. Die irische Datenschutzbehörde war vor den irischen High Court gezogen. Dieser hatte die Klage im Oktober 2017 an den EuGH weiterverwiesen.

Die Luxemburger Richter vertraten die Ansicht, der Privacy Shield reiche nicht als Grundlage aus, um personenbezogene Daten aus der EU in die USA zu übertragen. Denn der Privacy Shield sei nicht dazu geeignet, gleichwertige Verhältnisse in Bezug auf einen Datenzugriff durch US-amerikanische Behörden zu gewährleisten. So seien die Über-wachungsprogramme der USA nicht auf das zwingend erforderliche Maß beschränkt. Es fehlten hinreichend genaue Regelungen, um dem Grundsatz der Verhältnismäßigkeit beim Datenzugriff gerecht zu werden. Außerdem bemängelten die Richter, dass der Ombudsmannmechanismus den betroffenen Personen keinen Rechtsweg zu einem Organ eröffne, das dem EU-Recht gleichwertige Garantien böte.

Allerdings stellt der EuGH klar, dass die Übertragung von Daten europäischer Nutzer durch die Vereinbarung von Standardvertragsklauseln möglich sei. Diese müssten jedoch Garantien für einen angemessenen Schutz der Daten bieten.

Quellen:

Urteil des EuGH vom 16. Juli 2020 in der Rechtssache C-311/18 Data Protection Commissioner/Maximillian Schrems und Facebook Ireland, abrufbar unter:
http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1

Pressemitteilung Nr. 65/2020 des Gerichtshofs der Europäischen Union vom 16. Juli 2020 abrufbar unter:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf