Der Europäische Gerichtshof hat jüngst das EU-US „Privacy Shield“ für ungültig erklärt (Urteil vom 16.07.2020, Az. C-311/18, "Schrems II"). Diese informelle Absprache zwischen den USA (durch Zusicherungen) und der EU (durch einen sog. Angemessenheitsbeschluss) ermöglichte den zu kommerziellen Zwecken erfolgenden Transfer von personenbezogenen Daten aus der EU an zertifizierte US-amerikanische Unternehmen.
Dem EuGH-Urteil zugrunde lag ein Rechtsstreit zwischen dem österreichischen Juristen Maximilian Schrems und der irischen Datenschutzbehörde über die Behandlung deutscher Nutzerdaten auf Facebook. Bereits den Vorgängerbeschluss „Safe-Harbour“ kippte der EuGH auf Initiative Schrems (Schrems I – EuGH, Urteil vom 6. Oktober 2015, Az. C‑362/14).
Sämtliche Unternehmen der deutschen Wirtschaft sind von dieser EuGH-Entscheidung betroffen und warten dringlich auf praktikable Lösungen und Hilfestellungen der politischen Entscheidungsträger und Aufsichtsbehörden, um künftig wieder einen rechtssicheren Datentransfer in Drittländer, vor allem in die USA, zu ermöglichen.
Der BDEW hat sich deshalb einer Verbändeinitiative angeschlossen, die für eine schnelle Nachfolgeregelung und maßvolle Umsetzung des EuGH-Urteils plädiert. Wenn die von der EU-Kommission etablierten EU-Standarddatenschutzklauseln als geeignete Garantien wegfallen würden, würde die Verantwortung für ein angemessenes Datenschutzniveau für die Verarbeitung personenbezogener Daten im Einzelfall einseitig auf den in der EU für die Datenverarbeitung Verantwortlichen verlagert.
Für Unternehmen, die auf einen Datentransfer in die USA angewiesen sind, bestünde dann ein erhebliches rechtliches Risiko. Daher fordert das Verbändepapier von der EU-Kommission, möglichst schnell eine wirksame Nachfolgeregelung zum Privacy-Shield mit den US-Behörden zu verhandeln und die EU-Standarddatenschutzklauseln zu verbessern.
Zusätzlich braucht es einheitliche Kriterien, die den Unternehmen Anhaltspunkte für ein zulässiges Vorgehen beim Datentransfer in Drittländer geben. Auch die in Art. 46, 47 DSGVO ausdrücklich vorgesehene Datenübermittlung in Drittländer auf Basis von Standarddatenschutzklauseln und Binding Corporate Rules muss zukünftig möglich sein.