Europäischer Gerichtshof kippt Privacy Shield Abkommen
Was Sie jetzt wissen mĂĽssen, wenn Sie Daten in den USA verarbeitenÂ
Am 16. Juli 2020 erklärte der Europäische Gerichtshof das Privacy Shield abkommen, welches den rechtlichen Rahmen fĂĽr europäische Unternehmen fĂĽr den Transfer und die Verarbeitung von personenbezogenen erhobenen Daten in den USA festgelegt hatte, fĂĽr ungĂĽltig. Dies ist bereits der zweite RĂĽckschlag, nachdem das Gericht bereits im Jahr 2015 das Vorgängerabkommen Safe Harbor gekippt hatte. Doch welche Folgen hat das ganze nun fĂĽr Sie und Ihr Unternehmen?Â
Wer ist betroffen?Â
Sobald Sie in Ihrem Unternehmen Daten in die USA transferieren oder die Daten zur weiteren Verarbeitung ĂĽber die USA geleitet werden, mĂĽssen Sie sich absichern, dass die Daten während des gesamten Vorgangs genauso gut oder besser wie durch das europäische Datenschutzgesetz geschĂĽtzt werden. Der Nachweis eines angemessenen Schutzniveaus gestaltet sich jedoch häufig als komplexes Thema.Â
Ăśbrigens gelten dieselben Bestimmung auch fĂĽr den Transfer und die Verarbeitung von Daten in jedem anderen Drittland, sprich nicht EU-Mitgliedsstaat. Ăśber kurz oder lang wird es also auch fĂĽr GroĂźbritannien ein Abkommen geben mĂĽssen, wenn weiterhin Daten frei ĂĽbertragen werden wollen.Â
AuĂźerdem sind auch diverse Dienste und Plattformen betroffen, welche die meisten von uns tagtäglich nutzen. Unter anderem betrifft dies Microsoft Teams, Skype for Business, Got to Meeting, Zoom, YouTube, Google Ads, Facebook, Instagram, uvm.Â
Was können Sie jetzt tun?Â
Das Rechtsurteil des EuGHs wirkt unmittelbar und es gibt keine Ăśbergangsfrist fĂĽr Unternehmen. Sollten Sie also auf entsprechende Prozesse angewiesen sein, besteht die Möglichkeit, dass Sie die Datenverarbeitung ĂĽber sogenannte SCCs (Standard Contractual Clauses) regeln. Hierbei handelt es sich um standardmäßige, nicht verhandelbare Bedingungen und Pflichten, die beiden Parteien auferlegt werden, um den Schutz der Daten zu gewährleisten.Â
SCCs unterliegen allerdings der Einschränkung, dass der EuGH diese als nicht angemessen ansieht, wenn im Ziel- oder Transferland ein innerstaatliches Gesetz es den Behörden oder Sicherheitsdiensten erlaubt, in die Rechte betroffener Personen einzugreifen.Â
Eine weitere Option sind sogenannte Binding Corporate Rules (BCRs). Mit diesen BCRs verpflichten sich Unternehmen dazu, dass ein Engagement fĂĽr Datenschutzgrundsätze, -strategien und -umsetzungen besteht und lassen sich dafĂĽr Akkreditieren und Auszeichnen. Aufgrund der strengen Kriterien und der hohen Schwellenwerte fĂĽr diese Akkreditierung, werden die BCRs im Allgemeinen wohlwollender betrachtet als die SCCs, obwohl diese denselben Problemen, einer Intervention durch Regierungsbehörden, unterliegen.Â
Â
Wie geht es weiter?Â
Das wichtigste ist erstmal, dass Sie jetzt nicht in Panik verfallen. Die erwähnten SCCs und BCRs sind derzeit der beste Weg, wenn Sie Daten in ein Drittland ĂĽbermitteln wollen.Â
Nutzen Sie die nächsten Tage und Wochen fĂĽr folgende Schritte:Â
- Erstellen Sie eine Liste mit Softwareanbieter und Dienstleister aus den USA, die Sie nutzen.Â
- Analysieren Sie, ob hier personenbezogene Daten der Nutzer an diese Unternehmen ĂĽbermittelt werden.Â
- PrĂĽfen Sie, ob ihr Anbieter eine Regelung fĂĽr Kunden aus der EU treffen wird oder schreiben Sie die Anbieter an und fragen nach, welche Lösungen das Unternehmen treffen wird (Einwilligung, EU-Standard-Vertragsklausel, Datenspeicherung ausschlieĂźlich auf EU-Servern…)Â
- PrĂĽfen Sie, ob in Ihrer Datenschutzerklärung die DatenĂĽbertragung bei bestimmten Unternehmen auf das Privacy Shield Abkommen gestĂĽtzt war.Â
- Passen Sie die Formulierungen in Ihrer Datenschutzerklärung an.Â
Â
Weitere Informationen finden Sie hier:Â
SCCs:Â
BCRs:Â
https://www.mein-datenschutzbeauftragter.de/binding-corporate-rules/Â Â
https://de.wikipedia.org/wiki/Binding_Corporate_Rules Â
Eine aktuelle Stellungnahme von Microsoft:
https://news.microsoft.com/de-de/stellungnahme-zum-urteil-des-eugh-was-wir-unseren-kunden-zum-grenzueberschreitenden-datentransfer-bestaetigen-koennen/Â
Tel.: +49 7171 7987-11 oder über unser Kontaktformular Kontakt aufnehmen.
Bild von geralt auf PixabayÂ