at

Privacy Shield ungültig

Wie bereits berichtet hat der EuGH hat das EU-US Privacy Shield-Abkommen für ungültig erklärt. Den aktuellen Stand nach Beschreibung der EDSA (Europäische Datenschutzausschuss) finden Sie hier: FAQ-Dokument 

Unternehmen müssen - in Anbetracht der aktuellen Entwicklungen - jeden Transfer personenbezogener Daten in Drittländer, insbesondere in die USA, gründlich überprüfen.

Vorgehen:

  1. Überblick verschaffen: ALLE Datentransfers in Drittländer ermitteln. Beziehen Sie dabei auch Analyse-, Tracking- und Marketingtools mit ein, die auf Ihrer Website eingesetzt werden und zudem Speicherdienste, Tools zur Projektverwaltung und Kollaboration, Videokonferenz-Lösungen, Newsletter-Dienste etc..
  2. ÜBERPRÜFEN, auf Basis welcher Rechtsgrundlage die Daten übertragen werden und ob mit dem jeweiligen Anbieter bereits Standardvertragsklauseln abgeschlossen wurden.
  3. Übermittlung bislang auf der Grundlage des Privacy Shield: Prüfen Sie, ob der Transfer nunmehr auf Standarddatenschutzklauseln, Binding Corporate Rules oder ein anders Transferinstrument aus Art. 46 DSGVO gestützt werden kann oder ob ein Ausnahmetatbestand des Art. 49 DSGVO greift.
  4. Übertragung auf Grundlage der Standarddatenschutzklauseln oder von BCR: Prüfen Sie, ob hierdurch ein Schutz personenbezogener Daten gewährleistet ist, der im Wesentlichen denen des EU-Rechts entspricht.
  5. Kann der Schutz personenbezogener Daten nicht gewährleistet werden: Prüfen Sie, ob ein angemessenes Schutzniveau evtl. durch zusätzliche Schutzmaßnahmen erreicht werden kann. Die Umstände der Übermittlung sind dabei zu berücksichtigen. Zusätzliche Schutzmaßnahmen können ggf. zusätzliche Verschlüsselung oder eine Vertragsergänzung sein.
  6. Kann ein angemessenes Schutzniveau nicht gewährleistet werden, weil es dem Datenimporteur aufgrund von Rechtsvorschiften des Drittlands nicht möglich ist, die Standardvertragsklauseln zu erfüllen und die zusätzlichen Schutzmaßnahmen einzuhalten, ist zu prüfen, ob eine der Ausnahmen des Art. 49 DSGVO greifen. Ist auch dies nicht der Fall, ist der Datentransfer auszusetzen.
  7. Soll der Datentransfer trotz der Feststellung, dass ein angemessenes Schutzniveau nicht gewährleistet werden kann weiterhin durchgeführt werden: In diesem Fall müssen Sie die zuständige Aufsichtsbehörde hierüber informieren.

 

Warum Sie nun tätig werden sollten:

  1. personenbezogene Daten dürfen nach der DSGVO nur dann außerhalb der EU übermittelt werden (in sogenannte Drittländer), wenn in dem Zielland ein adäquates Datenschutzniveau besteht (Art. 44 DSGVO).
  2. Die EU-Kommission hatte für die USA ein adäquates Datenschutzniveau für Unternehmen festgestellt, die bestätigten, eine Reihe von Vorgaben zu beachten (bekannt als “Privacy Shield”). Vorteil: man durfte bei den Privacy-Shield-(selbst)zertifizierten Unternehmen ein adäquates Datenschutzniveau ohne eine weitere Prüfung annehmen.
  3. Der EuGH hat im Juli 2020 das System „Privacy Shield für unwirksam erklärt (EuGH, 16.7.2020 – C-311/18 “Schrems II”). EuGH: die Befugnisse der US-Behörden, die es sogar erlauben auf personenbezogenen Daten der EU-Bürger heimlich und ohne effektive Rechtsbehelfsmöglichkeiten zuzugreifen, sprechen gegen ein adäquates Datenschutzniveau in den USA.

Folge: es bedarf  nunmehr anderer Mittel, um ein adäquates Datenschutzniveau annehmen zu dürfen – ein solches können die sog. “Standardvertragsklauseln” sein (auch „Standardschutzklausen” oder “Standard Contractual Clauses”, SCC genannt).

Eine Risikominderung durch eigene Prüfung von Datentransfers ist daher dringend zu empfehlen: Jegliche Empfehlungen in diesem Zusammenhang mit Prüfungen geschehen vorbehaltlich der weiteren Entwicklungen zu diesem Thema – die Ansprüche sind derzeit nur schwer einschätzbar, in jedem Fall sollten Sie aber in der Lage sein, zumindest nachweisen können, entsprechend den behördlichen Ratschlägen gehandelt zu haben.

Wir empfehlen daher unbedingt mit den entsprechenden Dienstleistern in Kontakt zu treten und darüber hinaus sämtliche Datenschutzerklärungen auf Aktualität und Vollständigkeit hin zu überprüfen. In diesem Zusammenhang sollten auch alle Datenschutzhinweise auf Websites, für Beschäftigte etc., dahingehend überprüft werden, ob in diesen auf das Privacy Shield-Abkommen referenziert wird. Ist dies zu bejahen, so sollten diese Abschnitte ebenfalls dringend überarbeitet werden.

In den beschriebenen Fällen sollten - aus Gründen der Risikominimierung - in jedem Fall Standardvertragsklauseln mit dem Anbieter abgeschlossen werden, wenngleich ausdrücklich darauf hingewiesen wird, dass diese im Einzelfall nicht ausreichend sein können und dies im individuellen Fall zu überprüfen ist.

Bei eventuellen Fragen uns individuellem Beratungsbedarf stehen wir gerne zur Verfügung.

Hinweis: Wir haben die rechtlichen Vorgaben / Problemstellungen / die Rechtslage ausschließlich unverbindlich zusammengefasst. Der Artikel spiegelt darüber hinaus die persönliche Auffassung des Verfassers wider und ersetzt weder eine individuelle Rechtsberatung noch die weiteren Entwicklungen zu diesem Thema.

DSGVO | Alle News & Artikel zum Thema
Datenschutz und Datensicherheit

Erfahren Sie News und Wissenswertes zum Thema Datenschutz-Grundverordnung.

Privacy Shield ungültig

Wie bereits berichtet hat der EuGH hat das EU-US Privacy Shield-Abkommen für ung... weiterlesen

BGH Urteil Planet49 Cookies

Einsatz von Videodiensten und Konferenzsystemen

I. Was ist beim Einsatz eines (... weiterlesen

Brexit

Das Vereinigte Königreich Großbritannien und Nordirland ist aus der Europäische... weiterlesen

Authentifizierung von Kunden am Telefon

Authentifizierung von Kunden am ... weiterlesen

Plugins (Social Media Plugins)

Das bereits behandelte weiterlesen

Update: EuGH Urteil „Planet49“, Az. C 673/17

 

Einleitung weiterlesen

EuGH Urteil zum „Facebook Gefällt mir Button“

Am 29. Juli 2019 hat der EuGH in Sachen Fashion ID zum „Facebook Gefällt mir Bu... weiterlesen

Datenschutzkonferenz (DSK): Facebook Fanpages

Die Datenschutzkonferenz (DSK) hat erneut klargestellt, dass der Betrieb einer Fac... weiterlesen

Datenschutzkonferenz (DSK) zum Einsatz von Tracking Technologien

Die Datenschutzkonferenz (DSK)  hat ein neues Dokument herausgegeben (vom 29.03.2... weiterlesen

Einwilligung bei Nutzung von Cookies und Consent Management

Einwilligung für Cookies vor d... weiterlesen

Einwilligungserklärungen in der Arztpraxis

In Arztpraxen herrscht nach wie vor Verunsicherung was das Thema Datenschutz und d... weiterlesen

Datenschutzrechtliche Problemstellungen im Praxisalltag

Der tägliche Umgang mit sensiblen Patientendaten fordert einen funktionsfähigen ... weiterlesen

Backups und Datensicherung

Backups und Datensicherung - Anforderungen der DSGVO

weiterlesen

Messenger Dienste im Unternehmen WhatsApp und Co

Wir möchten an dieser Stelle nochmals auf das Thema WhatsApp und die Ausw... weiterlesen

Update: Facebook Fanpages, Facebook Pixel und Facebook Like Button

Wie bereits unter anderem im weiterlesen

Datenschutz und Facebook Facebook Fanpage

Das Thema Datenschutz und Facebook bleibt in vielerlei Hinsicht weiterhin aktuell ... weiterlesen

Aufsichtsbehörden für Datenschutz in Deutschland

Wir haben für Sie eine Übersicht über die zuständigen Aufsichtsbehörden für ... weiterlesen

Brexit

Brexit – Ungeregelter Austritt Großbritanniens aus der EU & Datenschutz: weiterlesen

ePrivacy Verordnung

Die ePrivacy-Verordnung und deren Umsetzung. Genau wie die Umset... weiterlesen

Der Datenschutzbeauftragte ab dem 25.05.2018 – Bestellpflicht – die wichtigsten Infos im Überblick:

Die nationale Regelung, § 38 Abs.1 BDSG (neu), sieht vor, dass ... weiterlesen

Datenschutz Grundverordnung Bußgelder und Sanktionen

Bußgelder und Sanktionen können nun häufiger werden. Der Bußgeldrahmen für ... weiterlesen

DSGVO: Pflicht zur Meldung des Datenschutzbeauftragten

Der Verantwortliche muss gemäß Art. 37 Abs. 7 DSGVO den von ihm ben... weiterlesen

Datenschutz Folgenabschätzung

Die nachfolgenden Aufsichtsbehörden und die Bundesbeauftragte für Datenschut... weiterlesen

Datenschutz – Personenbezogene Daten und besondere Kategorien personenbezogener Daten

Personenbezogenen Daten, Art. 4 Abs.1 DSGVO. Im Mittelpunkt datenschutzrechtli... weiterlesen

Ärzte, Zahnärzte, MVZ, Krankenhäuser

Datenschutz – EU-Datenschutzgrundverordnung (DSGVO) & Bundesdatenschutzge... weiterlesen

Anwaltliche Beratung im Arbeitsrecht - Wir bieten Ihnen schnelle und kompetente Beratung im Arbeitsrecht
Kirschenhofer Rechtsanwälte München

Wir beraten Sie zum Kündigungsschutz, zum Thema Abfindungen und Verhandlung von Abfindungen, zur Gestaltung von Arbeits-, Vorstands- und Geschäftsführerverträgen, Beratung des Aufsichtsrats, Mitarbeiterbeteiligung, Arbeitsrechtliche Fragen der Unternehmensgründung bzw. bei Umwandlungen.

DSGVO / DATENSCHUTZ

Wir bieten Ihnen Unterstützung und weitreichende Information zum Thema EU-Datenschutz-Grundverordnung an. Die DSGVO ist für alle Unternehmer, Shopbetreiber und Dienstleister ein wichtiges Thema - Wir helfen Ihnen personenbezogene Daten souverän zu schützen und rechtssicher einzusetzen.

Wir verwenden Cookies

Die www.datenschutzanwaelte-bayern.de Website verwendet Cookies, um Daten zu sammeln und Statistiken zur Verbesserung der Qualität unserer Website zu erstellen. Sie können unsere Cookies akzeptieren oder ablehnen, indem Sie auf die Schaltflächen unten klicken oder unsere Seite "Datenschutz-Richtlinien" besuchen. Eine Standardoption "Keine Einwilligung" gilt, wenn keine Auswahl getroffen wird. Wenn Sie mehr über unsere Datenschutz-Richtlinien erfahren möchten, klicken Sie unten auf die Schaltfläche "Mehr Informationen".

ablehnen Akzeptieren mehr Informationen