News Recht & Datenschutz

Privacy Shield ungültig

Wie bereits berichtet hat der EuGH hat das EU-US Privacy Shield-Abkommen für ungültig erklärt. Den aktuellen Stand nach Beschreibung der EDSA (Europäische Datenschutzausschuss) finden Sie hier: FAQ-Dokument 

Unternehmen müssen - in Anbetracht der aktuellen Entwicklungen - jeden Transfer personenbezogener Daten in Drittländer, insbesondere in die USA, gründlich überprüfen.

Vorgehen:

1. Überblick verschaffen: ALLE Datentransfers in Drittländer ermitteln. Beziehen Sie dabei auch Analyse-, Tracking- und Marketingtools mit ein, die auf Ihrer Website eingesetzt werden und zudem Speicherdienste, Tools zur Projektverwaltung und Kollaboration, Videokonferenz-Lösungen, Newsletter-Dienste etc..
2. ÜBERPRÜFEN, auf Basis welcher Rechtsgrundlage die Daten übertragen werden und ob mit dem jeweiligen Anbieter bereits Standardvertragsklauseln abgeschlossen wurden.
3. Übermittlung bislang auf der Grundlage des Privacy Shield: Prüfen Sie, ob der Transfer nunmehr auf Standarddatenschutzklauseln, Binding Corporate Rules oder ein anders Transferinstrument aus Art. 46 DSGVO gestützt werden kann oder ob ein Ausnahmetatbestand des Art. 49 DSGVO greift.
4. Übertragung auf Grundlage der Standarddatenschutzklauseln oder von BCR: Prüfen Sie, ob hierdurch ein Schutz personenbezogener Daten gewährleistet ist, der im Wesentlichen denen des EU-Rechts entspricht.
5. Kann der Schutz personenbezogener Daten nicht gewährleistet werden: Prüfen Sie, ob ein angemessenes Schutzniveau evtl. durch zusätzliche Schutzmaßnahmen erreicht werden kann. Die Umstände der Übermittlung sind dabei zu berücksichtigen. Zusätzliche Schutzmaßnahmen können ggf. zusätzliche Verschlüsselung oder eine Vertragsergänzung sein.
6. Kann ein angemessenes Schutzniveau nicht gewährleistet werden, weil es dem Datenimporteur aufgrund von Rechtsvorschiften des Drittlands nicht möglich ist, die Standardvertragsklauseln zu erfüllen und die zusätzlichen Schutzmaßnahmen einzuhalten, ist zu prüfen, ob eine der Ausnahmen des Art. 49 DSGVO greifen. Ist auch dies nicht der Fall, ist der Datentransfer auszusetzen.
7. Soll der Datentransfer trotz der Feststellung, dass ein angemessenes Schutzniveau nicht gewährleistet werden kann weiterhin durchgeführt werden: In diesem Fall müssen Sie die zuständige Aufsichtsbehörde hierüber informieren.

Warum Sie nun tätig werden sollten:

1. personenbezogene Daten dürfen nach der DSGVO nur dann außerhalb der EU übermittelt werden (in sogenannte Drittländer), wenn in dem Zielland ein adäquates Datenschutzniveau besteht (Art. 44 DSGVO).
2. Die EU-Kommission hatte für die USA ein adäquates Datenschutzniveau für Unternehmen festgestellt, die bestätigten, eine Reihe von Vorgaben zu beachten (bekannt als “Privacy Shield”). Vorteil: man durfte bei den Privacy-Shield-(selbst)zertifizierten Unternehmen ein adäquates Datenschutzniveau ohne eine weitere Prüfung annehmen.
3. Der EuGH hat im Juli 2020 das System „Privacy Shield für unwirksam erklärt (EuGH, 16.7.2020 – C-311/18 “Schrems II”). EuGH: die Befugnisse der US-Behörden, die es sogar erlauben auf personenbezogenen Daten der EU-Bürger heimlich und ohne effektive Rechtsbehelfsmöglichkeiten zuzugreifen, sprechen gegen ein adäquates Datenschutzniveau in den USA.

Folge: es bedarf  nunmehr anderer Mittel, um ein adäquates Datenschutzniveau annehmen zu dürfen – ein solches können die sog. “Standardvertragsklauseln” sein (auch „Standardschutzklausen” oder “Standard Contractual Clauses”, SCC genannt).

Eine Risikominderung durch eigene Prüfung von Datentransfers ist daher dringend zu empfehlen: Jegliche Empfehlungen in diesem Zusammenhang mit Prüfungen geschehen vorbehaltlich der weiteren Entwicklungen zu diesem Thema – die Ansprüche sind derzeit nur schwer einschätzbar, in jedem Fall sollten Sie aber in der Lage sein, zumindest nachweisen können, entsprechend den behördlichen Ratschlägen gehandelt zu haben.

Wir empfehlen daher unbedingt mit den entsprechenden Dienstleistern in Kontakt zu treten und darüber hinaus sämtliche Datenschutzerklärungen auf Aktualität und Vollständigkeit hin zu überprüfen. In diesem Zusammenhang sollten auch alle Datenschutzhinweise auf Websites, für Beschäftigte etc., dahingehend überprüft werden, ob in diesen auf das Privacy Shield-Abkommen referenziert wird. Ist dies zu bejahen, so sollten diese Abschnitte ebenfalls dringend überarbeitet werden.

In den beschriebenen Fällen sollten - aus Gründen der Risikominimierung - in jedem Fall Standardvertragsklauseln mit dem Anbieter abgeschlossen werden, wenngleich ausdrücklich darauf hingewiesen wird, dass diese im Einzelfall nicht ausreichend sein können und dies im individuellen Fall zu überprüfen ist.

Bei eventuellen Fragen uns individuellem Beratungsbedarf stehen wir gerne zur Verfügung.

Hinweis: Wir haben die rechtlichen Vorgaben / Problemstellungen / die Rechtslage ausschließlich unverbindlich zusammengefasst. Der Artikel spiegelt darüber hinaus die persönliche Auffassung des Verfassers wider und ersetzt weder eine individuelle Rechtsberatung noch die weiteren Entwicklungen zu diesem Thema.