Am 12.06.2016 trat das von der EU-Kommission geschaffene EU-US Privacy Shield als Nachfolgeregelung des Safe Harbour-Abkommens in Kraft. Dieser Angemessenheitsbeschluss legte fest, dass für das Privacy Shield zertifizierte US-Unternehmen ein Datenschutzniveau erreichen, das es zulässt, personenbezogene Daten in die USA ohne weitere Sicherheiten an sie übermitteln zu können.
Diese Vereinbarung wurde am 16.07.2020 vom Europäischen Gerichtshof für ungültig erklärt. Die Übertragung personenbezogener Daten auf der Grundlage des Privacy Shields ist damit in vielen Fällen nicht mehr legal und hat damit enorme Auswirkungen auf Unternehmen in der EU, die auf das Privacy Shield vertraut haben.
Den Stein ins Rollen gebracht hat wieder einmal der sog. Datenschutzaktivist Max Schrems, der bei der irischen Datenschutzbehörde die Übertragung von Daten durch Facebook Irland an den Firmensitz in den USA beanstandet hatte. Die Datenschutzbestimmungen in den USA sind weit weniger streng als in der EU und außerdem sei Facebook in den USA dazu verpflichtet, die Daten auch Behörden wie dem FBI oder der NSA zugänglich zu machen, ohne dass die Betroffenen dagegen gerichtlich vorgehen können, so die Begründung von Schrems.
Die Datenschutzbehörde in Irland wandte sich mit dieser Frage an ein irisches Gericht, das seinerseits damit zum EuGH ging. Dieser musste entscheiden, ob die durch das Privacy Shield gegebenen Garantien den Ansprüchen an den Datenschutz genügen und damit die Daten der europäischen Nutzer von Facebook, Google, Microsoft etc. ausreichend geschützt werden. Der EuGH urteilte nun, dass die Überwachungsgesetze der USA zu weitreichend seien und der Privacy Shield keinen angemessenen Schutz bietet.
Rund 5000 Unternehmen berufen sich auf den Privacy Shield bei der Datenübertragung in die USA. Soweit der Privacy Shield die einzige rechtliche Grundlage darstellt, werden sich die Unternehmen nach alternativen Grundlagen umsehen oder die Übermittlung einstellen müssen.
Der Datenaustausch auf der Grundlage von Standardvertragsklauseln wurde dagegen vom EuGH als ausreichend bewertet, wenn der Datenschutz in dem anderen Land gewährleistet sei.