Mit Urteil vom 16. Juli 2020 in der Rechtssache C-311/18 („Schrems II“) erklärt der Europäische Gerichtshof (EuGH) das sogenannte EU-US Privacy Shield-Abkommen zur Datenübermittlung in die USA für unwirksam. Auch für Datenübermittlungen auf der Grundlage von sogenannten Standardvertragsklauseln, Binding Corporate Rules und anderen geeigneten Garantien gelten künftig zusätzliche Anforderungen.
Sehen Sie es als Problem für den Datenschutz und die Datensicherheit, wenn bei GAIA-X, der europäischen Cloud- und Dateninfrastruktur, ausländische wie z.B. US-amerikanische Technologiekonzerne beteiligt würden?
Entscheidend ist, dass die Entwicklung der Standards für GAIA-X auf europäischen Grundlagen und unter Berücksichtigung der europäischer Kultur erfolgt. Dann soll aber natürlich jeder seine Dienste danach ausrichten und anbieten dürfen. Es geht ja nicht darum, andere auszuschließen, sondern darum, ein gutes Datenschutz-Level zu gewährleisten. Das ist mit Blick auf „Schrems II“ umso wichtiger.
„Unternehmen, die europäische personenbezogene Daten auf Grundlage des Privacy Shield in die Vereinigten Staaten übermitteln, müssen nun Alternativen entwickeln.“
Der Europäische Gerichtshof hat nach seinem „Safe-Harbor“-Urteil vom Oktober 2015 zum zweiten Mal geurteilt, dass die Daten europäischer Bürger in den USA nicht ausreichend geschützt werden: Auch das „Privacy Shield“ zwischen USA und Europäischer Union wurde vom EuGH gekippt. Eine politische und diplomatische Herausforderung zwischen EU-Kommission und US-Regierung – und ganz konkrete Herausforderungen an die tägliche Arbeit von Datenschutzbeauftragten in Unternehmen.