Es hat sich wieder etwas bewegt in Sachen Datenschutz – auch, wenn die Meldung ein wenig untergegangen ist. Der Europäische Gerichtshof hat heute das „Privacy Shield“, eine Datenschutz-Regelung, die den Datenaustausch zwischen EU und USA regelt und auf die sich viele Unternehmen auch in Deutschland beziehen, für ungültig erklärt.

Jede Verarbeitung personenbezogener Daten ist stets nur auf der Basis einer Rechtsgrundlage zulässig, und hier berufen sich viele Unternehmen beim Datenaustausch zwischen EU und den USA auf das im Jahr 2016 geschlossene Privacy-Shield-Abkommen (den „Nachfolger“ von Safe-Harbour). Allerdings gewährleisten die Regelungen keinen ausreichenden Datenschutz nach den Maßstäben, die seit 2018 die EU-Datenschutz-Grundverordnung innerhalb der Europäischen Union vorsieht. Problematisch ist insbesondere die Zugriffsmöglichkeit durch US-Behörden auf die Daten – und zwar ohne, dass Betroffene sich davor schützen können.

Das Urteil hat nicht nur auf die ganz großen Unternehmen wie beispielsweise Facebook Auswirkungen, sondern auch auf eine Vielzahl kleinerer Unternehmen, darunter z.B. auch mittelständische Unternehmen mit Tochtergesellschaften in den USA oder Konzerne mit Muttergesellschaften in den USA.

Die auf den ersten Blick naheliegende Lösung, endlich ein verbindliches der EU-DSGVO (GDPR) vergleichbares Datenschutzniveau auch in den USA zu schaffen, erscheint jedoch in weiter Ferne. Betroffene Unternehmen müssen nun reagieren, denn auf der bisherigen Basis dürfte eine Datenübermittlung nun meist unzulässig sein. Ein erster Schritt ist in jedem Fall die Überprüfung, welche Datenübermittlung zwischen EU und USA stattfindet (ein Blick in das „Verzeichnis der Verarbeitungs­tätigkeiten“ sollte Aufschluss geben 😉 ) und auf welcher Rechtsgrundlage dies geschieht.