Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil (C-311/18) vom 16. Juli 2020 das Privacy-Shield-Abkommen zwischen der EU und den USA zur Übermittlung und zum Schutz von übertragenen Daten zu amerikanischen Anbietern für unwirksam erklärt.
Hintergrund dieser Entscheidung: Amerikanische Geheimdienste könnten ungehemmt auf Daten von EU-Bürgern zugreifen, ein ausreichender Datenschutz sei so nicht gewährleistet.
Was bereits 2015 mit dem Safe-Harbour-Abkommen begann, wird durch die Entscheidung im Jahr 2020 durch den EuGH erneut bekräftigt: Der Schutz von Daten, insbesondere von personenbezogenen Daten genießt oberste Priorität und ist nach Ansicht der Richter bei amerikanischen Anbietern nicht hinreichend gewährleistet.
Während die EU-Kommission in einer global vernetzten Welt die Notwendigkeit einer belastbaren Regelung für die Übertragung und den gleichzeitigen Schutz von Daten erkannt hat, wird in den USA „den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung amerikanischen Rechts Vorrang eingeräumt“. Solange es also keine grundlegende Reform der Rechtslage in den USA gibt, bleibt auch jedes zukünftige Abkommen mit einer gewissen Unsicherheit behaftet.
Was bedeutet diese Entscheidung für Unternehmen?
Grundsätzlich gilt: Je weniger auf IT-Services internationaler Anbieter zurückgegriffen wird, desto geringer ist das Risiko, Schwierigkeiten mit dem Datenschutz zu bekommen. Dies ist aber aufgrund der technologischen Überlegenheit so mancher Angebote und mangelnder Alternativen nicht einfach umsetzbar.
Die Rückfalloption der Standardvertragsklauseln stellt ebenfalls nur eine wackelige Vertragsgrundlage dar. Am besten ergeht es derzeit wohl noch Unternehmen, die einen speziell ausgehandelten und konformen Vertrag mit dem jeweiligen Anbieter aushandeln konnten. Alle anderen Unternehmen, die nicht in dieser Gunst stehen, sollte die bezogenen Angebote bzw. zugrundeliegenden Verträge genau beleuchten. Praktische Tipps kommen dazu auch vom Landesbeauftragten für Datenschutz und Informationsfreiheit der Rheinland-Pfalz: Tipps für Unternehmen.
Im Zweifel gilt jedoch: Sollte keine Grundlage gefunden werden, die einen Datentransfer legitimiert, muss dieser - ggfs. sogar dauerhaft - ausgesetzt werden. Eine Übergangsfrist ist nicht vorgesehen.