Der EuGH hat am 16.7.2020 erneut ein wegweisendes Urteil für den Grundrechtsschutz von Unionsbürgern gesprochen und das von der Kommission mit den USA verhandelte Datenschutzabkommen „Privacy-Shield“ für nichtig erklärt (EuGH, Urt. v. 16.7.2020 – C-311/18). Für Unternehmen, die auf Dienste von US-Anbietern zurückgreifen, kommt großer Handlungsbedarf zu.
I. Ausgangssituation
II. Rechtliche Anforderungen an Drittstaatentransfers
III. Praktische Auswirkungen am Beispiel der Nutzung von US Cloud-Services
1. Microsoft Corp. v. United States und CLOUD Act
2. Übertragbarkeit der Feststellungen des EuGHs auf den CLOUD Act
IV. Lösungsansätze für „echte“ Drittstaatenübermittlungen
1. Ausweichen auf rein europäische Dienste
2. SCCs und risikobasierter Ansatz
3. BCRs
4. Ausnahmen von Art. 49 DSGVO
V. Beraterhinweis
I. Ausgangssituation
Das Privacy-Shield war der Nachfolger des – im Jahr 2015 ebenfalls vom EuGH in der Rechtssache Schrems I) gekippten – Datenschutzabkommens „Safe Harbor“ und diesem verblüffend ähnlich (EuGH, Urt. v. 6.10.2015 – C-362/14). Bürgerrechtler und Datenschützer zeigen sich daher wenig überrascht davon, dass der EuGH erneut im Sinne des österreichischen Juristen Max Schrems geurteilt hat, der seit Jahren gegen die Übermittlung seiner Daten in die USA durch Facebook vorgeht.
Das jetzige Urteil hat nicht nur politische Sprengkraft, sondern …