Unwirksamkeit des EU-US-Datenschutzabkommens "Privacy Shield" und die Folgen für Datenübermittlungen in die USA

Unter dem Datenschutzabkommen "Privacy Shield" hatten sich über 4.000 US-amerikanische Unternehmen zertifizieren lassen. In der Folge war es ihren Geschäftspartnern in der EU erlaubt, personenbezogene Daten – etwa Arbeitnehmerdaten oder Verbraucherdaten – an solche zertifizierten Unternehmen in den USA zu übermitteln. Der Privacy Shield fußte rechtlich auf einem Durchführungsbeschluss der EU-Kommission. Mit seinem Urteil vom 16. Juli 2020 – C-311/18 (sog. „Schrems II-Urteil“) stellt der Europäische Gerichtshof (EuGH) fest, dass der Beschluss der EU-Kommission zur Angemessenheit des Datenschutzniveaus in den USA ungültig ist.

Bei der Übertragung von Daten europäischer Verbraucher in ein Drittland müsse ein Schutzniveau gewahrt werden, das dem der DSGVO entspreche. Davon könne auf Grundlage der US-Gesetzgebung nicht ausgegangen werden. Denn die amerikanischen Behörden können nach dortigem Recht auf aus der EU übermittelte personenbezogene Daten zugreifen; die dortigen Überwachungsprogramme seien nicht auf das zwingend erforderliche Maß beschränkt. Vor allem aber hätten betroffene Personen keinen Zugang zu effektiven Rechtsschutzmöglichkeiten, falls sie eine missbräuchliche Verarbeitung ihrer personenbezogenen Daten vermuteten.

Damit ist eine Übermittlung personenbezogener Daten aus der Europäischen Union in die USA auf der Grundlage des EU-US-Datenschutzschilds (Privacy Shield) nicht (mehr) zulässig.

In unserer => Mitteilung im Kirchlichen Amtsblatt 2020 Nr. 14  informieren wir über die geänderte Rechtslage und die Bedeutung des EuGH-Urteils für die Datenverarbeitung durch kirchliche Stellen.

Das Katholische Datenschutzzentrum Frankfurt/M. nimmt in seiner  => Datenschutz-​Orientierungshilfe: EuGH kippt Datenschutzabkommen mit USA (August 2020)  ebenfalls zu den Auswirkungen des EuGH-Urteils auf Verantwortliche und Auftragsverarbeiter im Sinne des KDG Stellung.