Die Luxem­bur­ger Rich­ter erklär­ten das EU-US Pri­va­cy Shield Deal letz­ten Don­ners­tag für ungül­tig (Euro­päi­scher Gerichts­hof, Urt. v. 16.07.2020, Az. C‑311/18). Grund: Die Daten­schutz­ga­ran­tien der USA genü­gen den Ansprü­chen der Euro­päi­schen Uni­on nicht.  Nun ist unklar, wie Daten von EU-Bür­gern z. B. auch durch sog. Third Par­ty Coo­kies, beim Trans­fer in die USA geschützt wer­den sol­len. Anlass für die­se Ent­schei­dung war die Kla­ge des öster­rei­chi­schen Daten­schutz­ak­ti­vis­ten Max Schrems, es ist bereits die zwei­te Ver­ein­ba­rung zum trans­at­lan­ti­schen Daten­schutz, die das Gericht nach des­sen Kla­ge gekippt hat. 

Der euro­päi­sche Daten­schutz erlaubt den Trans­fer von Daten in die U.S.A nur, wenn die Daten dort eben­falls gut geschützt sind. Für die USA hat der EuGH nun geur­teilt: Die Über­wa­chungs­ge­set­ze der USA sei­en zu schran­ken­los, der Rechts­schutz EU-Bür­ger wer­de nicht gewähr­leis­tet.

Und was nun? 

Wer den Daten­trans­fer aus der EU nun an Goog­le, Face­book & Co recht­fer­ti­gen will, etwa beim Ein­satz von Third Par­ty Coo­kies auf sei­nen Web­sei­ten, wird sich nach Lösun­gen umse­hen müs­sen. Selbst­stän­di­ge müs­sen nun­mehr Daten­ver­ar­bei­tun­gen im elek­tro­ni­schen Geschäfts­ver­kehr ein­schließ­lich ihrer Web­sei­ten und Daten­schutz­er­klä­run­gen über­prü­fen und ggf. über­ar­bei­ten. Denn Pri­va­cy Shield garan­tiert nicht mehr den Daten­schutz in den USA und kann auch daher nicht mehr als Recht­fer­ti­gung für die Über­tra­gung etwa in der Daten­schutz­er­klä­rung her­an­ge­zo­gen wer­den. Im Gegen­teil, wer per­so­nen­be­zo­ge­ne Daten künf­tig in die USA ohne Rechts­grund­la­ge über­mit­telt, han­delt sogar rechts­wid­rig und läuft Gefahr von den Daten­schutz­be­hör­den abge­mahnt zu wer­den. Es dro­hen im schlimms­ten Fall Buß­gel­der in Höhe von bis zu 20 Mil­lio­nen Euro oder – noch gra­vie­ren­der – bis zu vier Pro­zent des welt­wei­ten Jah­res­um­sat­zes eines Unter­neh­mens.. Denn bei der Daten­über­tra­gung per­so­nen­be­zo­ge­ner Daten von EU-Bür­gern auf Ser­vern der US-Tech­kon­zer­ne wie Goog­le & Co. dür­fen Selbst­stän­di­ge nicht mehr auf die Zer­ti­fi­zie­rung nach Pri­va­cy Shield ver­trau­en.

Was ist die Lösung?

Als Alter­na­ti­ve zum Pri­va­cy Shield kann der Daten­aus­tausch aber meist auf Grund­la­ge soge­nann­ter EU-Stan­dard­ver­trags­klau­seln gesche­hen, die Garan­tien dafür bie­ten, dass es bei der Über­mitt­lung ins Aus­land ange­mes­se­nen Schutz für die Daten von EU-Bür­gern gibt.  Das Gericht erklär­te Stan­dard­ver­trags­klau­seln auch grund­sätz­lich für zuläs­sig und wei­ter anwend­bar. Ob das im Ein­zel­fall der Daten­schutz­ga­ran­tie im Sin­ne der DSGVO genügt, wer­den die Daten­schutz­be­hör­den im Zwei­fel beur­tei­len müs­sen.