„Schrems-II-Urteil“: EuGH kippt das Privacy Shield

Unternehmen können nach dem Urteil des EuGH „Schrems-II“ vom 16. Juli 2020 in den bisher sicheren Drittstaat USA personenbezogene Daten nicht mehr auf der Grundlage des zwischenstaatlichen Angemessenheitsbeschlusses „Privacy Shield“ als Nachfolger des zuvor vom EuGH durch das „Schrems-I-Urteil“ gekippten „Safe Harbor“-Abkommens übermitteln, welchen der EuGH nun für ebenfalls unwirksam erklärt hat. Ein Grund dafür ist die aus Sicht des EuGH stark überzogene Massenüberwachung durch amerikanische Sicherheitsbehörden wie die National Security Agency (NSA).

Nach strengerer Ansicht ist generell ein rechtskonformer Datenaustausch in die USA nach dem genannten Urteil nicht mehr möglich, da der US-Cloud-Act in Diskrepanz zur DS-GVO steht: Denn US-Firmen müssen unabhängig vom Daten-Standort einen scheinbar willkürlichen Zugriff von US-Behörden im Terrorverdachtsfall dulden, während dies nach den Grundsätzen der DS-GVO nur nach richterlichem Vorbehalt möglich ist. 

Die Urteilswirkung erstreckt sich dabei grundsätzlich inhaltlich nicht nur auf den nun unsicheren Drittstaat USA, sondern auf sämtliche unsichere Drittstaaten weltweit außerhalb des Anwendungsbereichs der DS-GVO oder einzelner zwischenstaatlicher Abkommen in Form von Angemessenheitsbeschlüssen.