Mit der Entscheidung C‑311/18 erklärte der EuGH den Angemessenheitsbeschluss der Europäischen Kommission zum Privacy Shield für ungültig, das die Übermittlung personenbezogener Daten aufgrund einer Selbstzertifizierung der Empfänger in die USA ermöglichte. Der Beschluss der Kommission über Standardvertragsklauseln (SCC) für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländer ist hingegen – zumindest in der Theorie – auch im Hinblick auf Datenübermittlungen in die USA weiterhin gültig. Für die Rechtmäßigkeit der Übermittlung ist jedoch auch in diesem Fall erforderlich, dass die in den SCC enthaltenen Garantien (insbesondere die Verhinderung von Behördenzugriffen) tatsächlich eingehalten werden. Ob dies tatsächlich der Fall ist, muss jeder Verantwortliche/Datenexporteur unter Mitwirkung des Empfängers/Datenimporteurs selbst beurteilen.
Im Lichte der Ausführungen des EuGH ist dabei jedoch Skepsis angebracht: Bloße vertragliche Verpflichtungen werden den Zugriff staatlicher Stellen aufgrund von US-Gesetzen wohl genauso wenig verhindern können wie die Selbstzertifizierung nach dem Privacy Shield. Der Europäische Datenschutzausschuss hat dazu bislang nur vage ausgeführt, dass zusätzliche Maßnahmen ergriffen werden sollten, um ein im EWR entsprechendes Schutzniveau sicherzustellen. In Frage kämen etwa umfassende Schadloshaltungen, starke Verschlüsselungstechnologien oder die sofortige Verständigung im Falle eines drohenden Behördenzugriffs samt Kündigungsmöglichkeit. Ob und welche zusätzlichen Garantien aber letztlich als ausreichend angesehen werden, ist nicht gesichert. Bis zu einer (einheitlichen) empfohlenen Vorgehensweise, neuen SCC oder einer praktikablen Alternative sollten Datenübermittlungen in die USA (direkte sowie durch Auftragsverarbeiter) daher aus Sicherheitsgründen so weit wie möglich ausgesetzt werden.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
