FAQ zur Übermittlung von Daten

Europäischer Datenschutzausschuss veröffentlicht FAQ zur Übermittlung personenbezogener Daten in die USA

Der europäische Datenschutzausschuss hat am 24.07.2020 Fragen und Antworten (FAQ) zur Zulässigkeit der Übermittlung personenbezogener Daten in die USA veröffentlicht.

Hintergrund

Bislang war eine Übermittlung zulässig, wenn der Empfänger der Daten seine Schutzmaßnahmen von den US-Behörden nach dem sog. EU-US-Privacy Shield hat zertifizieren lassen. Die EU-Kommission hatte nämlich dieses Verfahren mit Beschluss vom 12.07.2016 (2016/1250) als gleichwertigen Schutz zur Datenschutzgrundverordnung (DSGVO) anerkannt.

Mit Urteil vom 16.07.2020 (C-311/18) verwarf der europäische Gerichtshof diesen Angemessenheitsbeschluss der Kommision. Zur Begründung bezog er sich auf die Möglichkeit der US-Sicherheitsbehörden auf die gespeicherten Daten unter Berufung auf nationale Sicherheitsbelange zuzugreifen. Hiergegen fehle ein effektiver Rechtsbehelf (siehe auch Pressemitteilung).

Was hat sich geändert?

Durch das Urteil des EuGH ist die Datenübermittlung auf Grundlage des Privacy Shields nicht mehr zulässig. Datenexporteuere sollten daher ihre Verarbeitungsverträge mit Datenempfängern in den USA auf ihre Zulässigkeit nach der DSGVO überprüfen. Dabei sollte möglichst auf Standartvertragsklauseln (standard contractual clauses – SCCs) oder verbindliche interne Datenschutzregeln (binding corporate rules – BCR) zurückgegriffen werden. Anderenfalls ist eine Datenübermittlung nur unter den strengen Voraussetzungen des Artikel 49 DSGVO zulässig. Eine entsprechende Empfehlung spricht auch der europäische Datenschutzausschuss in seinen veröffentlichten FAQs aus.