Personenbezogene Daten dürfen nach der DSGVO nur in Drittländer übermittelt werden, wenn dort ein angemessenes Schutzniveau gewährleistet ist. Um das Schutzniveau nachzuweisen, werden die Transferinstrumente aus den Art. 45 ff. DSGVO herangezogen. Ein solches Transferinstrument stellt der Beschluss 2016/1250 der EU-Kommission über das Privacy Shield dar, der festlegt, dass in den USA ein angemessenes Schutzniveau besteht.
Der österreichische Datenschutzaktivist Max Schrems wehrte sich erstmals 2015 vor dem EuGH („Schrems I“) gegen das Safe-Harbour-Abkommen zwischen den USA und der EU. Schon damals ging es ihm darum, zu verhindern, dass Facebook Irland personenbezogene Daten an Facebook Inc. in den USA übermittelt.
Der Gerichtshof kam zu dem Ergebnis, dass die Daten europäischer Bürger durch das damalige Abkommen nicht ausreichend vor dem Zugriff der US-Behörden (insbesondere der US-Geheimdienste) geschützt worden waren und kippte es daraufhin.
Als Safe-Harbour-Nachfolger wurde das Privacy Shield ausgehandelt. Dieses enthält zwar einige Verschärfungen, z.B. die Benennung einer Ombudsperson im US-Außenministerium. Dennoch kritisierten viele Datenschützer, dass das Privacy Shield vom Inhalt größtenteils dem Safe-Harbour-Abkommen entspreche.
Daher legte Schrems erneut Beschwerde bei der irischen Datenschutzbehörde ein und der Fall landete vor dem EuGH.
Der Europäische Gerichtshof erklärte nun auch den Beschluss über das Privacy Shield für ungültig.
Er stellte fest, dass der Schutz personenbezogener Daten in den USA dergestalt eingeschränkt ist, dass die amerikanischen Behörden auf solche Daten, die aus der Union übermittelt werden, zugreifen und verwenden dürfen. Die auf amerikanische Rechtsvorschriften gestützten Überwachungsprogramme entsprechen nicht dem unionsrechtlichen Grundsatz der Verhältnismäßigkeit.
Ferner ist Betroffenen kein Rechtsweg eröffnet, der den nach dem Unionsrecht erforderlichen Garantien entspreche.
Nach Auffassung des EuGH ist der Beschluss 2010/87 über Standardvertragsklauseln für die Datenübermittlung an Auftragsverarbeiter in Drittländern weiterhin gültig.
Jedoch muss bei der Verwendung von Standardvertragsklauseln stets geprüft werden, ob ein dem europäischen Datenschutz vergleichbarer Schutz für die Daten in dem Drittland tatsächlich besteht. Dies gilt auch für die Übermittlung auf Basis von Binding Corporate Rules und anderer Transferinstrumente nach Art. 46 DSGVO.
Folgende Maßnahmen sind angesichts der veränderten Rechtslage zu treffen:
Der Verantwortliche muss außerdem das gültige Recht des Drittstaates darauf überprüfen, ob die Standardvertragsklauseln oder sonstige getroffene Garantien ausgehöhlt werden. Gegebenenfalls müssen ergänzende Schutzmaßnahmen (z. B. zusätzliche Datenverschlüsselungen, Vertragsergänzungen) getroffen werden, die ein angemessenes Schutzniveau gewährleisten.
Unrechtmäßige Datenübermittlungen an Drittstaaten können nach Art. 83 Abs. 5 lit. c DSGVO mit empfindlichen Geldbußen geahndet werden und die Datenübermittlung untersagt werden.