EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"

Dürfen Unternehmen weiterhin personenbezogene Daten von Nutzern, Verbrauchern oder Arbeitnehmern in die USA senden? Der Europäische Gerichtshof hat die EU-US-Datenschutzvereinbarung "Privacy Shield" gekippt. Damit ist die Datenübertragung persönlicher Daten von der EU in die USA in vielen Fällen illegal.

Allerdings können Nutzerdaten von EU-Bürgern weiterhin auf Basis sogenannter Standardvertragsklauseln in die USA und andere Staaten übertragen werden, wie die Luxemburger Richter entschieden.

Ins Rollen gebracht wurde der Fall durch den österreichischen Datenschutzaktivisten Max Schrems, nach dessen Klage der Europäische Gerichtshof 2015 bereits das transnationale Safe-Harbor-Abkommen zwischen der EU und den USA kassiert hatte.

Das Urteil könnte gravierende Folgen für die globale Wirtschaft haben. E-Mails oder Hotel-Buchungen von Privatpersonen dürften von dem Urteil nicht betroffen sein. Im Fokus stehen "Electronic Communication Service Provider", also Service-Anbieter wie Facebook, Google, Microsoft, Apple und Yahoo.

Übertragen Unternehmen nun weiter unter den Privacy-Shield-Regeln Daten, könnte es Bußgelder nach der Datenschutzgrundverordnung (DSGVO) geben. Welche Alternativlösungen es für internationale Datentransfers gibt, ist noch völlig unklar. Die EU-Kommission müsste möglichst schnell Alternativen ausarbeiten. Wie es aus der Brüsseler Behörde heißt, ist man dort auf verschiedene Szenarien vorbereitet.

Derzeit geschieht der Datenaustausch meist auf Grundlage sogenannter Standardvertragsklauseln, die im Kern Garantien dafür bieten, dass es bei der Übermittlung ins Ausland angemessenen Schutz für die Daten von EU-Bürgern gibt. In einigen Fällen legt auch der EU-US- Datenschutz-Schild ("Privacy Shield") Standards für den Umgang mit europäischen Informationen in den USA fest. Die Standardvertragsklauseln sind aber gebräuchlicher. Datenschützer Schrems hatte es vor allem auf Facebook abgesehen.