Kein Datenaustausch erlaubt: Was das Aus für den EU-US Privacy Shield bedeutet

Die EU-Kommission verliert den Rechtsstreit um den US Privacy Shield vor dem Europäischen Gerichtshof. Betroffene Unternehmen müssen sich nun umstellen.

Lesezeit: 6 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 1 Beitrag
Von
  • Tobias Haar
Inhaltsverzeichnis

Vor Gericht und auf hoher See ist man in Gottes Hand, besagt eine alte Lebensweisheit. Aber nicht immer fallen Gerichtsurteile überraschend aus. So haben viele Fachleute vorausgesagt, was sich am 16. Juli 2020 bewahrheitete: An dem Tag erklärte der Europäische Gerichtshof (EuGH) den sogenannten EU-US Privacy Shield für unwirksam. Damit ist die EU-Kommission zum zweiten Mal mit ihrem Versuch gescheitert, eine zwischenstaatliche Vereinbarung mit den USA zu treffen, die die Übermittlung personenbezogener Daten von EU- an US-Unternehmen rechtskonform ermöglicht.

Formal haben die Richter den Beschluss 2016/1250 über die Angemessenheit des vom EU-US Privacy Shield gebotenen Schutzes der EU-Kommission für unwirksam erklärt. Beim EU-US-Datenschutzschild handelt es sich letztlich um Rahmengrundsätze zu datenschutzrechtlichen Aspekten, die vom US-Handelsministerium herausgegeben wurden. Bereits zu Beginn beschreiben diese, was mit ihnen bezweckt wird: "Sie sind ausschließlich für den Gebrauch durch Organisationen in den Vereinigten Staaten gedacht, die personenbezogene Daten aus der Europäischen Union erhalten, damit diese sich für den Privacy Shield qualifizieren und damit in den Genuss der Angemessenheitsentscheidung der EU-Kommission kommen können."

Was steckt dahinter? Die Europäische Union hat sich mit der Datenschutz-Grundverordnung (DSGVO) und anderen Regelungen ein hohes Datenschutzniveau gegeben. Unternehmen dürfen personenbezogene Daten an andere Unternehmen nur dann übermitteln, wenn die Vorgaben der DSGVO eingehalten werden. Da die DSGVO EU-weit gilt, spielt es keine Rolle, ob sich die kooperierenden Unternehmen in einem oder mehreren EU-Staaten befinden. Sitzt der Datenempfänger jedoch außerhalb der EU, regeln die Artikel 45 bis 50 der DSGVO, unter welchen Voraussetzungen eine solche Übermittlung erlaubt ist. Grundsätzlich bedarf es dazu eines angemessenen Datenschutzniveaus in einem Drittstaat.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - monatlich kündbar
  • erster Monat gratis, danach monatlich 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+