EuGH kippt Privacy Shield
Der EuGH hat mit heutigem Urteil den EU-US Privacy Shield für unzureichend erklärt. Das informelle Abkommen zwischen der EU und den USA hatte bislang den Datentransfer von personenbezogenen Daten in die USA erlaubt, wenn die Empfänger der Daten entsprechend zertifiziert waren. Dieser Sonderweg im Bereich des internationalen Datenschutzes für die USA wurde als Garantie für ein angemessenen Datenschutzniveau nach der DSGVO angesehen und hatte das vorige Safe-Harbor Abkommen abgelöst, das ebenfalls vom EuGH gekippt wurde. Nach Meinung der Richter genügen die Anforderungen an das Zertifikat jedoch nicht den Anforderungen an das EU Datenschutzrecht. Dass nun bereits zum zweiten Mal ein bilaterales Abkommen im Datenschutz gerichtlich verworfen wird, kommt für Datenschützer wenig überraschend, da die Kritik an den Regelungen immer lauter wurde.
Praxisauswirkung:
Unternehmen, die personenbezogene Daten an US Unternehmen übermittelt haben und sich dabei auf das Privacy Shield Zertifikat gestützt haben, müssen schnellstmöglich auf die Standardvertragsklauseln der EU ausweichen. Im Urteil klingt auch an, dass Verantwortliche erhöhte Sorgfaltspflichten an die Anbieter in den USA stellen müssen, wenn sie Standardvertragsklauseln verwenden.
