EuGH entscheidet: Privacy Shield ist nicht rechtskonform

by | Aug 17, 2020 | News

Der EuGH hat in seiner Entscheidung vom 16.07.2020 (Urt. v. 16.07.2020, Az. C-311/18, „Schrems II“) entschieden, dass die Selbst-Zertifizierung von US-Unternehmen unter das sog. „Privacy Shield“-Abkommen (Angemessenheitsbeschluss gem. Art. 45 DSGVO) keinen angemessenen Datenschutz für EU Bürger gewährleiste.

Damit ist es den deutschen Unternehmen ab sofort nicht mehr möglich durch eine Weitergabe von personenbezogenen Daten auf das „Privacy Shield“ zu stützen. Überall wo dies geschehen ist, müssen Anpassungen erfolgen.

Auswirkungen auf Standardvertragsklauseln

Vielleicht noch wichtiger sind die Aussagend des EuGH in Bezug auf die Standardvertragsklauseln. Diese fungieren als „Ausweg“ für die Datenübermittlung in Drittländer. So kann ein Vertrag zwischen dem EU- und US-Amerikanischen Unternehmen geeignete Garantien für EU Bürger entfalten, wenn dieser sog. „Standardvertragsklauseln“ gem. Art. 46 Abs. 2 lit. c DSGVO beinhaltet. Viele Unternehmen stützen ihre Verarbeitung in die USA bereist auf diese Klauseln. So hat Google am letzten Wochenende angekündigt zukünftig eine Übermittlung auf diese Standardvertragsklauseln (SVK) zu stützen.

Der EuGH sieht auch diese Klauseln im Fall eines Transfers in die USA nur dann als möglich wirksame Rechtsgrundlage an, wenn die dort genannten Garantien von den US-Unternehmen auch gegeben werden könnten. Diese Prüfung sei Sache der Datenschutzbehörden. Da EU-Bürger in den USA keine Möglichkeit haben sich gegen stattliche Eingriffe zu schützen, können solche Klauseln problematisch sein. Denn ein effektiver Rechtschutz für EU-Bürger kann durch eine solche vertragliche Vereinbarung überhaupt nicht garantiert werden.

Was bedeutet das für Unternehmen

Soviel zum Urteil. Praktisch bedeutet das Urteil für jedes Unternehmen in Deutschland und der EU, dass eine Weitergabe von Daten in die USA sofort, ohne Übergangsfrist zu stoppen ist. Hat man einen vertrag mit einer deutschen (oder EU-) Außenstelle, so müsste ausgeschlossen werden, dass diese Tochter Daten an die Muttergesellschaft übermittelt. Das kann im Fall von Microsoft oder Amazon bspw. nicht möglich sein. So findet bspw. der Support von MS in den USA statt und MS hat die Möglichkeit (zumindest theoretisch) in Daten europäischer Nutzer Einblick zu erhalten. Hierdurch würde auch die Möglichkeit entfallen, durch die interne Vereinbarung von SVK, Daten von der europäischen Tochter zur US-Mutter zu übermitteln.


Kurz: It’s a big mess! Was können wir tun?


  • Mit den großen Unternehmen (Apple, Google, MS) sollten SVK abgeschlossen werden (zumindest hat der EuGH diese noch nicht für rechtsunwirksam erklärt). Für die großen Unternehmen ist dies meist schon geschehen.
  • Die Weitergabe von Daten an US-Unternehmen, die sich auf das Privacy Shield beziehen, muss ebenfalls auf SVKs umgestellt werden. Das werden wir in den nächsten Monaten umsetzen müssen.
  • Neue Verträge mit (kleineren) US-Unternehmen sollten entweder SVKs erhalten oder (besser noch) vermieden werden, wenn es EU-Unternehmen gibt, die die gleiche Leistung anbieten.

Mehr Informationen: EuGH hebt Privacy Shield auf. Und jetzt? (Legal Tribune Online)

zurück zur Übersicht