Europäischer Gerichtshof kippt Privacy Shield Abkommen

Was Sie jetzt wissen müssen, wenn Sie Daten in den USA verarbeiten 

Am 16. Juli 2020 erklärte der Europäische Gerichtshof das Privacy Shield abkommen, welches den rechtlichen Rahmen für europäische Unternehmen für den Transfer und die Verarbeitung von personenbezogenen erhobenen Daten in den USA festgelegt hatte, für ungültig. Dies ist bereits der zweite Rückschlag, nachdem das Gericht bereits im Jahr 2015 das Vorgängerabkommen Safe Harbor gekippt hatte. Doch welche Folgen hat das ganze nun für Sie und Ihr Unternehmen? 

Wer ist betroffen? 

Sobald Sie in Ihrem Unternehmen Daten in die USA transferieren oder die Daten zur weiteren Verarbeitung über die USA geleitet werden, müssen Sie sich absichern, dass die Daten während des gesamten Vorgangs genauso gut oder besser wie durch das europäische Datenschutzgesetz geschützt werden. Der Nachweis eines angemessenen Schutzniveaus gestaltet sich jedoch häufig als komplexes Thema. 

Übrigens gelten dieselben Bestimmung auch für den Transfer und die Verarbeitung von Daten in jedem anderen Drittland, sprich nicht EU-Mitgliedsstaat. Über kurz oder lang wird es also auch für Großbritannien ein Abkommen geben müssen, wenn weiterhin Daten frei übertragen werden wollen. 

Außerdem sind auch diverse Dienste und Plattformen betroffen, welche die meisten von uns tagtäglich nutzen. Unter anderem betrifft dies Microsoft Teams, Skype for Business, Got to Meeting, Zoom, YouTube, Google Ads, Facebook, Instagram, uvm. 

Was können Sie jetzt tun? 

Das Rechtsurteil des EuGHs wirkt unmittelbar und es gibt keine Übergangsfrist für Unternehmen. Sollten Sie also auf entsprechende Prozesse angewiesen sein, besteht die Möglichkeit, dass Sie die Datenverarbeitung über sogenannte SCCs (Standard Contractual Clauses) regeln. Hierbei handelt es sich um standardmäßige, nicht verhandelbare Bedingungen und Pflichten, die beiden Parteien auferlegt werden, um den Schutz der Daten zu gewährleisten. 

SCCs unterliegen allerdings der Einschränkung, dass der EuGH diese als nicht angemessen ansieht, wenn im Ziel- oder Transferland ein innerstaatliches Gesetz es den Behörden oder Sicherheitsdiensten erlaubt, in die Rechte betroffener Personen einzugreifen. 

Eine weitere Option sind sogenannte Binding Corporate Rules (BCRs). Mit diesen BCRs verpflichten sich Unternehmen dazu, dass ein Engagement für Datenschutzgrundsätze, -strategien und -umsetzungen besteht und lassen sich dafür Akkreditieren und Auszeichnen. Aufgrund der strengen Kriterien und der hohen Schwellenwerte für diese Akkreditierung, werden die BCRs im Allgemeinen wohlwollender betrachtet als die SCCs, obwohl diese denselben Problemen, einer Intervention durch Regierungsbehörden, unterliegen. 

 

Wie geht es weiter? 

Das wichtigste ist erstmal, dass Sie jetzt nicht in Panik verfallen. Die erwähnten SCCs und BCRs sind derzeit der beste Weg, wenn Sie Daten in ein Drittland übermitteln wollen. 

Nutzen Sie die nächsten Tage und Wochen für folgende Schritte: 

  1. Erstellen Sie eine Liste mit Softwareanbieter und Dienstleister aus den USA, die Sie nutzen. 
  2. Analysieren Sie, ob hier personenbezogene Daten der Nutzer an diese Unternehmen übermittelt werden. 
  3. PrĂĽfen Sie, ob ihr Anbieter eine Regelung fĂĽr Kunden aus der EU treffen wird oder schreiben Sie die Anbieter an und fragen nach, welche Lösungen das Unternehmen treffen wird (Einwilligung, EU-Standard-Vertragsklausel, Datenspeicherung ausschlieĂźlich auf EU-Servern…) 
  4. Prüfen Sie, ob in Ihrer Datenschutzerklärung die Datenübertragung bei bestimmten Unternehmen auf das Privacy Shield Abkommen gestützt war. 
  5. Passen Sie die Formulierungen in Ihrer Datenschutzerklärung an. 

 

Weitere Informationen finden Sie hier: 

SCCs: 

https://www.datenschutz.rlp.de/de/themenfelder-themen/standarddatenschutzklauseln-der-eu-kommission-oder-einer-aufsichtsbehoerde/  

BCRs: 

https://www.mein-datenschutzbeauftragter.de/binding-corporate-rules/  

https://de.wikipedia.org/wiki/Binding_Corporate_Rules  

Eine aktuelle Stellungnahme von Microsoft:
https://news.microsoft.com/de-de/stellungnahme-zum-urteil-des-eugh-was-wir-unseren-kunden-zum-grenzueberschreitenden-datentransfer-bestaetigen-koennen/ 

 


Keine wichtigen Neuigkeiten mehr verpassen? Dann melden Sie sich jetzt bei unserem Newsletter an: Anmeldeseite fĂĽr unseren Newsletter

Persönliche Beratung gewünscht?
Tel.: +49 7171 7987-11 oder über unser Kontaktformular Kontakt aufnehmen.

 

 

 

 

 

Bild von geralt auf Pixabay