Wie ist mit der Rechtsunsicherheit im Zusammenhang mit der Deaktivierung des Privacy Shields umzugehen?
Der EuGH hat den Angemessenheitsentscheid „Privacy Shield“ im so genannten „Schrems II“-Urteil vom 16. Juli 2020 für ungültig erklärt. Das Privacy Shield erlaubte die Übertragung von Daten zwischen der Europäischen Union und US-Betreibern, die sich an ihre Datenschutzgrundsätze halten, ohne weitere Formalitäten.
Unternehmen, die weiterhin personenbezogene Daten von Europa in die USA übertragen wollen, sind daher gezwungen, eine neue Legitimationsbasis für ihren Datentransfer zu finden.
Zur Erinnerung: Eine Übertragung personenbezogener Daten in ein Nicht-EU-Land ist zulässig, wenn sie den Bestimmungen der Artikel 44 ff. DSGVO entspricht.
Da die Transfers in die Vereinigten Staaten nicht mehr auf dem oben genannten Angemessenheitsentscheid beruhen können, ist eine andere Rechtsgrundlage für diese Übertragung in Betracht zu ziehen.
Es gibt drei weitere Mechanismen, die in Betracht gezogen werden können:
- die in Artikel 46 definierten Standarddatenschutzklauseln
- die in Artikel 47 festgelegten verbindlichen internen Datenschutzvorschriften (BCR) und
- die Ausnahmen für bestimmte Fälle des Artikels 49.
Was die Standarddatenschutzklausel und die BCR anbelangt, so sind die US-amerikanischen Überwachungsprogramme (Foreign Intelligence Surveillance Act (FISA) von 1978 und die Executive Order (E.O.) von 1981), die es den Nachrichtendiensten erlauben, in großem Umfang Daten zu sammeln und zu verarbeiten, darunter auch Daten von in Europa lebenden Personen, nicht mit den Anforderungen der DSGVO vereinbar.
Es sei darauf hingewiesen, dass nicht alle amerikanischen Unternehmen diesen Gesetzen unterliegen. Sie finden jedoch nach Art. 702 FISA mindestens für jeden Anbieter elektronischer Kommunikationsdienste Anwendung, ein weit gefasstes Feld.
Folglich reicht der bloße Abschluss einer Standarddatenschutzklausel oder einer BCR nicht aus, wenn das Zielunternehmen den oben genannten Rechtsvorschriften unterliegt. Allerdings kann sich ein privater Akteur dieser Regelung im Vorhinein entziehen.
In einigen Fällen könnte die Lösung in Art. 49 DSGVO gefunden werden, der Ausnahmeregelungen vorsieht, die eine Übertragung in bestimmten Situationen ermöglichen. Dabei handelt es sich insbesondere um Fälle, in denen die betroffene Person ihre Einwilligung erteilt hat, und um Fälle, in denen die Übertragung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist.
Dieser Artikel ist jedoch nur gelegentlich zu verwenden, damit sind keine größeren und regelmäßigen Datenübertragungen zu rechtfertigen.
Angesichts so vieler Rechtsunsicherheiten sollte diese Entscheidung europäische Unternehmen und Organisationen dazu veranlassen, die Übertragung personenbezogener Daten in die Vereinigten Staaten und alle Länder, die nicht unter einen Angemessenheitsentscheid fallen, zu überdenken.
Es wurden keine Übergangsfrist eingeräumt, daher ist es keine Lösung, auf eine hypothetische Änderung der Regulierung in den USA zu warten.