Personenbezogene Daten dürfen nach der Datenschutz-Grundverordnung (DSGVO) nur dann an ein Drittland übermittelt werden, wenn dort für die Verarbeitung der Daten ein angemessenes Schutzniveau gewährleistet ist.

Für den Transfer in die USA war dies bis zum Sommer dieses Jahres über den so genannten EU-US-Datenschutzschild geregelt. Der EuGH hat diesen nun ersatzlos gekippt, um zu verhindern, dass die US-Sicherheitsbehörden weiterhin unbeschränkten Zugriff auf personenbezogene Daten haben.

Darf man als Versender jetzt noch personenbezogene Daten in die USA weiterleiten?

Die Antwort lautet: es ist schwierig geworden.

Art. 49 DSGVO beschreibt Ausnahmefälle, in denen der Datentransfer auch ohne Schutzschild weiterhin legal ist. Dies ist z.B. im Fall bei der Einholung einer Einwilligung des Betroffenen oder zum Zweck der Erfüllung eines Vertrages. Es ist allerdings nicht empfehlenswert, sich auf solche Ausnahmetatbestände bei der Datenübermittlung zu berufen, da die Hürden hierfür sehr hochgelegt sind und der Versender das Risiko eingeht, im Falle einer Prüfung durch die Behörden diese strengen Anforderungen nicht zu erfüllen.

Ersatz für den Privacy Shield können Standarddatenschutzklauseln oder Binding Corporate Rules (BCR) als rechltiche Grundlage für den Datentransfer in die USA darstellen (s. Art. 46 f. DSGVO). Es müssen dann aber zusätzliche Maßnahmen getroffen werden, welche die übermittelten Daten im konkreten Einzelfall angemessen vor dem Zugriff der US-Sicherheitsbehörden schützen, etwa durch entsprechende Verschlüsselung.

In jedem Fall sollte vor einem weiteren Datentransfer in die USA ein entsprechendes Konzept des Versenders mit den Datenschutzbehörden abgestimmt werden.

Was passiert, wenn der Datentransfer in die USA ohne entsprechende Maßnahmen einfach weiter erfolgt?

Der Datentransfer ist dann unzulässig. Der Europäische Datenschutzausschuss, der Zusammenschluss der nationalen Datenschutzbehörden (EDSA) hat klargestellt, dass es keine „Schonfrist“ gibt, das Urteil des EuGH also direkt umzusetzen ist.

In Deutschland hat die nationale Datenschutzbehörde bereits entsprechende proaktive und anlassbezogene Prüfungen angekündigt. Die Folge können drastische Bußgelder für das betroffene Unternehmen sein, welches die personenbezogenen Daten weiterhin unverändert versendet.

Kann ein Unternehmen jetzt einfach auf andere Länder bei Datentransfers  ausweichen? 

Das geht nach dem Urteil des EuGH nun auch nicht mehr so einfach. Bei Datentransfers in andere Länder, etwa zur Auftragsverarbeitung, muss vorab geprüft werden, ob ein entsprechender Beschluss der EU-Kommission vorliegt. Ist dies nicht der Fall, stößt das Unternehmen auf die gleichen Risiken wie derzeit bei Datentransfers in die USA. Mit anderen Worten: eine Datenübermittlung ist nur in enger Abstimmung mit den Behörden unter Vorlage eines entsprechenden Konzeptes möglich.