Nachdem der österreichische Datenschutzaktivist Maximilian Schrems bereits im Jahr 2015 vor dem Europäischen Gerichtshof (EuGH) einen Erfolg im Kampf gegen den Transfer seiner personenbezogenen Daten in die USA erringen konnte, in dessen Folge die sogenannte Safe-Harbor-Entscheidung der EU für ungültig erklärt wurde (EuGH, Urteil vom 6.10.2015 – C-362/14), gelang ihm nun ein weiterer Coup.

Mit Urteil vom 16.07.2020 entschied der EuGH, dass auch das sogenannte EU-US-Privacy-Shield ungültig ist (EuGH, Urteil vom 16.07.2020 – C-311/18).

Stein des Anstoßes ist die Frage, auf welcher Grundlage personenbezogene Daten aus der Europäischen Union in die USA übermittelt werden dürfen. Das frühere Safe-Harbor-Abkommen sah die USA als „sicheren Hafen“ für europäische Daten an; deren Übermittlung sei auf dieser Grundlage unbedenklich. Dem hatte der EuGH schon 2015 widersprochen.

Da eine Datenübermittlung in einen Drittstaat – wie jede Datenverarbeitung – stets einer Rechtsgrundlage bedarf, ersetzte das EU-US-Privacy-Shield im Jahr 2016 die Safe-Harbor-Entscheidung. Auch deren Gültigkeit scheiterte nach Ansicht des EuGH nun an dem geringen Datenschutzniveau in den USA, da insbesondere die Geheimdienste und sonstige Behörden Zugriff auf Daten nehmen könnten. Diese Zugriffsrechte seien, gemessen am europäischen Datenschutzbedürfnis, zu weitgehend.

Bemerkenswert ist, dass der EuGH ganz allgemein Zweifel an amerikanischer Datensicherheit formulierte. Dies könne unter anderem an grundsätzlichen Mentalitätsunterschieden liegen. Nach europäischem Verständnis fußt das Grundrecht auf Schutz personenbezogener Daten im Persönlichkeitsrecht des Betroffenen; in den USA begreift man Datenschutz eher als Ausprägung des Schutzes der Unverletzlichkeit der Wohnung.

Weitreichende Folgen für den Datentransfer in die USA
Das Urteil des EuGH hat weitreichende Auswirkungen, da etwa der Analysedienst Google Analytics, den viele Webseitenbetreiber einsetzen, einen Datentransfer in die USA voraussetzt.

Allerdings hat der EuGH nicht jedwede Datenübermittlung in die USA für rechtswidrig erklärt. Nach Ansicht der Luxemburger Richter soll etwa die Übermittlung auf Basis sogenannter Standardvertragsklauseln weiterhin möglich sein. Hierbei handelt es sich um von der Europäischen Kommission vorformulierte Vertragsbedingungen (Art. 46 Abs. 2 lit. c DS-GVO), die den Datenempfänger zur Einhaltung bestimmter Datenschutzgarantien verpflichten. Es stellt sich freilich die Frage, ob sich insbesondere amerikanische Tech-Giganten auf den Abschluss solcher Verträge einlassen.

Alternativ dürfte ein Transfer auch durch die Einwilligung der betroffenen Person gerechtfertigt werden können (Art. 49 Abs. 1 lit. a DS-GVO). Die Anforderungen an die korrespondierenden Aufklärungspflichten des übermittelnden Unternehmens dürften nun jedoch weiter gestiegen sein.

Praxishinweis
Das Urteil des EuGH bestätigt, dass Unternehmen in der Pflicht sind, das Datenschutzniveau des Ziellandes detailliert zu bewerten, in das sie Daten übermitteln. Für die USA gilt dies nun im Besonderen. Auch die europäischen Datenschutzbehörden dürften spätestens jetzt darauf ihr besonderes Augenmerk richten.