Der Datenschutzaktivist Max Schrems erzielt einen weiteren Erfolg vor dem europäischen Gerichtshof. Bereits 2015 hatte Schrems durch den EuGH die Unwirksamkeit des Abkommens Safe Harbour, dem Vorgänger des Privacy Shields, erreicht.
Mit seinem Urteil in der Rechtssache C-311/18 erklärt der europäische Gerichtshof den Beschluss 2016/1250 der EU-Kommission zum Privacy Shield für ungültig. Der Gerichtshof stellt fest, dass den Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts Vorrang gegenüber dem Schutz vor Eingriffen in die Grundrechte von Personen eingeräumt wird, deren Daten in die Vereinigten Staaten übermittelt werden. Die auf amerikanische Rechtsvorschriften gestützten Überwachungsprogramme sind nicht auf das erforderliche Maß beschränkt. Betroffene Personen, die nicht amerikanische Staatsbürger sind, haben für die für Behörden geltenden Vorschriften des Privacy Shields keinerlei gerichtlich durchsetzbare Rechte. Ferner stellt der Gerichtshof fest, dass die Ombudsperson nicht unabhängig ist und keine verbindlichen Entscheidungen gegenüber amerikanischen Nachrichtendiensten erlassen kann.
Die Gültigkeit des Beschlusses 2010/87 über Standardvertragsklauseln wird nicht in Frage gestellt, jedoch sind die in der DSGVO vorgesehenen Anforderungen an geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe dahingehend auszulegen, dass das Schutzniveau dem der DSGVO gleichwertig ist. Das Schutzniveau ist anhand der vertraglichen Vereinbarungen zwischen Datenexporteur und dem Drittland-Empfänger als auch der Zugriffsmöglichkeiten von Behörden des Drittlands zu beurteilen. Den Aufsichtsbehörden obliegt die Pflicht, die Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn diese der Auffassung sind, dass die Standardvertragsklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können sowie der Schutz der Daten nicht gewährleistet werden kann. Verantwortliche müssen sich nun intensiv mit nationalem Recht des Drittlandes auseinandersetzen. Dies gilt insbesondere für Gesetze und Verordnungen, die Behörden Überwachungsbefugnisse einräumen. Zielunternehmen im Drittland sind zudem verpflichtet, dem Verantwortlichen in der EU mitzuteilen, wenn das hohe Datenschutzniveau nicht erfüllt werden kann.
Organisationen mit Datenübermittlungen in Drittländer, für die kein Angemessenheitsbeschluss vorliegt, stehen mit der Entscheidung des EuGH vor großen Herausforderungen. Insbesondere Datenübermittlungen in die USA sind fortan mit hohen Risiken verbunden, sofern von den Betroffenen keine wirksamen Einwilligungen eingeholt worden sind. Ein Rückgriff auf Standardvertragsklauseln anstatt des Privacy Shields verschafft bestenfalls Zeit, bis die Aufsichtsbehörden die Übermittlung verbieten. Regelmäßig droht die rechtmäßige Übermittlung schon daran zu scheitern, dass es dem Datenexporteur nicht gelingen wird, die Einhaltung der Vorgaben durch das Zielunternehmen nachzuweisen.