In seiner Entscheidung vom 16. Juli 2020 hat der EuGH entschieden, dass ein Transfer persönlicher Daten von der EU in die USA nicht mehr auf Basis des sog. Privacy Shield (nachfolgend „Datenschutzschild“ oder „DSS“) zulässig ist. Das Datenschutzschild ist ein informelles Abkommen aus dem Jahr 2016 zwischen den USA, der EU Kommission und der Schweiz. Danach durften personenbezogene Daten unter den Voraussetzungen des DSS in die USA transferiert werden, da in den USA ein gleichwertiger Schutz personenbezogener Daten bestünde, dessen Einhaltung die Empfänger durch eine entsprechende Zertifizierung nachwiesen.
Mit dem Urteil vom 16. Juli 2020 hat der EuGH einer Zulässigkeit der Übertragung personenbezogener Daten in die USA auf der (alleinigen) Basis des DSS eine klare Absage erteilt: Nach der Entscheidung des EuGH ist das Datenschutzschild unwirksam und eine Übertragung personenbezogener Daten auf dieser Grundlage unzulässig.
Personenbezogene Daten dürfen damit von der EU (oder der Schweiz) nur noch dann in die USA transferiert werden, wenn ein anderer Rechtfertigungsgrund vorliegt. Dies können z.B. die Einwilligung des Betroffenen sein, dessen Daten exportiert werden sollen, oder ggf. auch von der Europäischen Kommission genehmigte Standardvertragsklauseln. Letztere führen allerdings nach Auffassung des EuGH nicht per se zur Zulässigkeit des Datentransfers, vielmehr kommt es ergänzend darauf an, dass der Person im Empfängerstaat (konkret also den USA) ein vergleichbares Schutzniveau ihrer persönlichen Daten gewährt wird und ihr vergleichbare Schutzrechte zustehen. Diese Prüfung muss unabhängig von der Verwendung der Standardvertragsklauseln erfolgen.
Für Unternehmen bedeutet dies, dass sie zunächst prüfen müssen, ob und wenn ja auf welcher Grundlage sie personenbezogene Daten in die USA transferieren und ob diese Rechtsgrundlage den im Urteil des EuGH niedergelegten Voraussetzungen entspricht. Ist dies nicht der Fall, drohen erhebliche Bußgelder, bis zu 20 Mio. Euro.
