Folgen für die Praxis
Datenverarbeitungen mit Bezug zu den USA, insbesondere Auftragsverarbeitungen, können nicht länger auf den Angemessenheitsbeschluss der EU in Form des Privacy-Shield-Abkommens gestützt werden.
Bisher war das Privacy-Shield-Abkommen in den allermeisten Fällen Grundlage für die Übertragung von personenbezogenen Daten in die USA. Nachdem der EuGH dies nun für unzureichend erklärt hat, besteht daher in vielen Fällen Handlungsbedarf.
Die datenverarbeitenden Unternehmen in den USA können sich jetzt nur noch auf die verbleibenden drei Möglichkeiten zur Gewährleistung eines angemessenen Datenschutzniveaus stützen: Entweder muss ein Auftragsdatenverarbeitungsvertrag mit Standarddatenschutzklauseln geschlossen werden, es müssen genehmigte Binding Corporate Rules vorliegen oder eine gesetzlich vorgeschriebene Zertifizierung muss durchlaufen werden. In der Praxis dürfte allerdings nur die Verwendung von Standarddatenschutzklauseln mit vertretbarem Aufwand umsetzbar sein.
Werden diese Vorgaben nicht eingehalten, ist die Datenübertragung rechtswidrig und kann zu Bußgeldern oder Schadensersatzansprüchen führen. Es ist zu erwarten, dass ausländische IT-Unternehmen kurzfristig Datenverarbeitungen über Niederlassungen in Europa steuern.