Mit seinem Urteil vom 16.07.2020 hat der EuGH das Privacy-Shield-Abkommen zwischen der EU und den USA für Datenübermittlungen in die USA für unwirksam erklärt, da es kein Schutzniveau auf dem Level der DSGVO sicherstellt. Insbesondere stehe Betroffenen in den USA kein Rechtsweg zur Durchsetzung der im Unionsrecht verankerten Rechtsgarantien offen. Datentransfers in die USA sind ab sofort datenschutzwidrig, wenn sie (ausschließlich) auf Grundlage einer Privacy-Shield-Zertifizierung erfolgen.
Betroffen sind nicht nur Übermittlungen an Auftragsverarbeiter, sondern auch solche innerhalb eines Konzerns oder an Geschäftspartner. Sowohl der Einsatz von Software-Tools, bei denen zumindest ein Teil der Datenverarbeitung in den USA erbracht wird, als auch die konzerninternen Datenflüsse an US-Konzernunternehmen müssen überprüft werden. Auf den Sitz der beteiligten Unternehmen kommt es nicht an.
Allerdings ist nicht jede Datenübermittlung in die USA vom EuGH-Urteil betroffen. Zulässig bleibt eine Übermittlung, die zur Erfüllung eines Vertrages (oder Durchführung vorvertraglicher Maßnahmen) mit dem Betroffenen erforderlich ist. Die Kommunikation mit amerikanischen Kunden oder Hotelbuchungen in den USA sind weiter zulässig. Genauso können Mitarbeiterdaten im Konzern im erforderlichen Umfange geteilt werden, wenn der internationale Bezug des Arbeitsverhältnisses bei Abschluss des Arbeitsvertrages bekannt war.
Ebenso nicht betroffen ist die Nutzung von US-Dienstleistern, wenn die Leistungserbringung vollständig in europäischen Rechenzentren erfolgt. Hier ist aber zu beachten, dass alle US-amerikanischen Anbieter den Regelungen des Cloud Act unterliegen und daher auch in Europa gespeicherte Daten an Behörden der USA unter bestimmten Bedingungen herauszugeben haben. Auch diese Vorgänge unterliegen keiner angemessenen Kontrollbefugnis des Betroffenen.
Unternehmen, die Daten unter dem Privacy Shield in die USA transferieren, haben akuten Handlungsbedarf: Besteht keine Garantie für ein angemessenes Datenschutzniveau kann die Übermittlung ins Drittland auch auf eine Einwilligung des Betroffenen gestützt werden, Art. 49 Abs. 1 Satz 1 a) DSGVO. Die Einwilligung muss aber ausdrücklich erfolgen und erfordert, dass der Betroffene auf die Risiken eines fehlenden Angemessenheitsbeschlusses oder der Garantie eines Datenschutzniveaus hingewiesen wurde. Dafür genügt eine Cookie-Einwilligung oder Newsletter-Anmeldung auch dann nicht, wenn ausdrücklich darauf hingewiesen wurde, dass Dienstleister in den USA eingesetzt werden.
Das Urteil des EuGH ist unmittelbar gültig, so sind betroffene Datenübermittlungen ab sofort rechtswidrig. Maßnahmen müssen unverzüglich ergriffen werden. Allerdings ist nicht zu erwarten, dass Aufsichtsbehörden unmittelbar Bußgelder verhängen werden.