Mit dem Urteil vom 16. Juli 2020 hat der EuGH (C-311/18) den EU-U.S.-Datenschutzschild für ungültig erklärt. Das bedeutet, dass dieser nicht mehr als Grundlage für Datenübermittlungen in die USA verwendet werden kann. Verantwortliche und Auftragsverarbeiter müssen umgehend auf andere Transferinstrumente des Kapitel V DS-GVO zurückgreifen. Stehen keine anderen Transferinstrumente zur Verfügung und kann auch kein Ausnahmetatbestand des Art. 49 DS-GVO herangezogen werden, muss die Datenübermittlung ausgesetzt werden. Bereits übermittelte Daten sind zurückzufordern bzw. zu vernichten. Eine Übergangsfrist gibt es nicht. Der EuGH hat die Aufgabe der Aufsichtsbehörden betont, Verstöße zu ahnden. 

Historie zu den Angemessenheitsbeschlüssen der EU-Kommission in Bezug auf die USA

In der Vergangenheit erfolgten Datentransfers von europäischen Unternehmen in die Vereinigten Staaten von Amerika (USA) zunächst auf Grundlage der sogenannten Safe Harbor-Vereinbarung zwischen der Europäischen Union (EU) und den USA aus dem Jahr 2000. Der Europäische Gerichtshof erklärte allerdings in seinem Urteil vom 6. Oktober 2015 (Rs. C-362/14, sog. Safe Harbor-Entscheidung) die Entscheidung der EU-Kommission, in der festgestellt worden war, dass die USA ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig.

Mit der Entscheidung der Europäischen Kommission (2016/1250) vom 12. Juli 2016 über den sog. EU-U.S.-Privacy Shield stand seit dem 1. August 2016 eine neue Grundlage für Datenübermittlungen in die USA zur Verfügung. Der EU-U.S. Privacy Shield konnte nicht für alle Übermittlungen personenbezogener Daten in die USA herangezogen werden, sondern bot eine Grundlage nur für Übermittlungen an solche U.S.-Unternehmen, die eine gültige Privacy Shield-Zertifizierung besaßen.

Da die Entscheidungen der Europäischen Kommission bindend sind, konnte das EU-U.S. Privacy Shield trotz der von den Datenschutzbehörden geäußerten Kritik als Grundlage genutzt werden, um personenbezogene Daten aus Europa an solche U.S.-Unternehmen zu transferieren, die sich gemäß dem Privacy Shield zertifiziert hatten. Das U.S.-Handelsministerium führte die offizielle Liste der U.S.-Unternehmen, die eine Privacy-Shield-Zertifizierung erworben hatten. Unternehmen und andere Akteure aus der Europäischen Union, die auf Grundlage des Privacy Shield personenbezogene Daten in die USA übermitteln wollten, mussten darauf achten, dass das U.S.-Unternehmen, an das die Daten übermittelt werden sollten, auch tatsächlich in der oben genannten Liste des U.S.-Handelsministeriums eingetragen war. Ferner musste das datenexportierende (europäische) Unternehmen anhand des Listeneintrags auch überprüfen, ob die Zertifizierung die Kategorie von Daten umfasste, die übermittelt werden sollten (Beschäftigtendaten = "HR" oder sonstige Daten, wie personenbezogene Kundendaten = "Non HR").

Mit dem Urteil vom 16. Juli 2020 (C-311/18) erklärte der EuGH die Angemessenheitsentscheidung der EU-Kommission zum EU-U.S. Privacy Shield nun ebenfalls für ungültig. Aktuell gibt es keine gültige Angemessenheitsentscheidung der EU-Kommission in Bezug auf die USA. Zu anderen Grundlagen für die Datenübermittlung in die USA siehe hier.