Handlungsempfehlungen zum Ende des Privacy Shields

Der EuGH hat im Juli 2020 für einen datenschutzrechtlichen Paukenschlag gesorgt und den EU-US-Privacy Shield mit seinem Urteil vom 16.07.2020 (Az: C‑311/18) für ungültig erklärt. Das müssen Sie als Unternehmer jetzt über das Urteil wissen.

Durchschnittliche Lesezeit: 5 Minuten

Hintergrund zum Ende des Privacy Shields war eine Klage des österreichischen Juristen und Datenschutzaktivisten Maximilian Schrems. Dieser hat die für Facebook in der EU zuständige irische Aufsichtsbehörde verklagt, da seiner Meinung nach der Privacy Shield personenbezogene Daten europäischer Bürger nicht angemessen schützt, wenn sie durch US-Unternehmen verarbeitet werden. Dieser Auffassung schloss sich der EuGH an – mit Auswirkungen für die gesamte EU.

Kurz gesagt: es gibt aktuell keine Vereinbarung zwischen der EU und den USA, welche ein angemessenes Datenschutzniveau in den USA bescheinigt. Ohne weitere Maßnahmen wäre daher der Datentransfer in die USA unverzüglich einzustellen! Nachdem sich der erste Rauch gelegt hat, schreiten nun die deutschen Aufsichtsbehörden zur Tat und ziehen erste Konsequenzen. Dabei stehen aktuell Hilfestellungen für betroffene europäische Unternehmen an erster Stelle, die unverzügliches Handeln anmahnen. Daher sollten Sie nun auch dringend aktiv werden! Folgende Schritte sind empfehlenswert:

Bestandsaufnahme – Welche Daten gehen in Drittländer?

Verschaffen Sie sich einen Überblick darüber, welche Daten tatsächlich aktuell bei Ihnen über welche Tools, Programme oder Dienstleister in den USA bzw. durch US-Unternehmen außerhalb der USA verarbeitet werden. Das heißt: Erfassen Sie z.B. unbedingt auch die von Ihnen genutzten US-Unternehmen, welche Cloud-Dienste und Ähnliches explizit in der EU anbieten!

Hintergrund hierfür ist der sogenannte CLOUD-Act, welcher US-Behörden Zugriff auf von US-Unternehmen verwaltete Daten auch dann erlaubt, wenn sie außerhalb der USA gespeichert werden.

Umstände der Datenübermittlung prüfen

Sind Art, Umfang, Zweck, Kontext und Empfänger der Datenübermittlung noch zutreffend? Kurz gesagt: brauchen Sie alle Daten wirklich und stimmt der ursprüngliche Zweck, zu dem Sie die Datenübermittlung durchgeführt haben, noch mit der Realität überein? Dürfen Sie alle Daten überhaupt noch verarbeiten? Hier haben Sie ein großes Potenzial zum Entschlacken: Reduzieren Sie die Datenübermittlung soweit wie möglich auf ein absolut notwendiges Maß.

Datenschutzerklärung anpassen

Prüfen Sie nach, ob Sie in Ihrer Datenschutzerklärung noch Ihrer Informationspflicht nach Art. 13 Abs. 1 f) DSGVO genügend nachkommen. Sollten Sie sich in Ihrer Datenschutzerklärung noch auf den Privacy Shield beziehen, so sollte dies nun umgehend geändert werden. Welcher neuer Transfermechanismus zur Anwendung kommt, hängt sehr stark und individuell vom Dienstleister ab, mit dem Sie zusammenarbeiten. Im schlechtesten Fall müssen Sie die Zusammenarbeit mit bestimmten Dienstleistern beenden, im besten Fall ändern Sie nur eine Textpassage.

US-Dienstleister in die Pflicht nehmen

Die DSGVO selbst stellt ganz klare Regeln auf, unter welchen Umständen eine Verarbeitung personenbezogener Daten von EU-Bürgern in einem Drittland wie den USA zulässig ist. Ideal wäre ein Angemessenheitsbeschluss seitens der EU-Kommission – aber dieser war für die USA der Privacy Shield, der ja nun nicht mehr gültig ist. Alternativ könnten Standardvertragsklauseln zum Tragen kommen. Dabei handelt es sich um ein “Set” von Klauseln, welche von der EU als Vertragsklauseln zum Datenschutz akzeptiert werden, sofern sich der Partner im Drittland dazu verpflichtet. Die Sache hat aber einen Haken: Wenn Behörden oder sonstige Stellen des Drittlandes in unverhältnismäßiger Art und Weise in die Rechte der betroffenen Personen eingreifen können (z.B. ein massenhafter Abruf von Daten ohne Information der Betroffenen und ohne verfahrensrechtliche Sicherungen wie einen Richtervorbehalt) oder es keinen wirksamen Rechtsschutz für die Betroffenen gibt, dann reichen die Standardvertragsklauseln alleine nicht mehr aus.

Standardklauseln reichen nach Ende des Privacy Shields nicht

Der EuGH hat nun eindeutig entschieden, dass diese Situation auf die USA zutrifft! Neben dem bereits erwähnten Cloud Act gibt es weitere staatliche Eingriffsmöglichkeiten innerhalb der USA, so dass Standardvertragsklauseln für US-Unternehmen nicht ausreichen. Ergänzend notwendig sind daher Garantien, welche von den betroffenen US-Unternehmen abgegeben werden müssen. Diese Garantien müssen Gewissheit darüber herstellen, dass unkontrollierte Zugriffe z.B. seitens US-Behörden nicht möglich sind, In der Praxis heißt dies: Gewährleistung von Ende-zu-Ende-Verschlüsselung, Daten-Anonymisierung etc.

Das sagen deutsche Aufsichtsbehörden zum Ende des Privacy Shields

Es gibt seitens deutscher Aufsichtsbehörden jedoch erhebliche Zweifel daran, dass selbst die Kombination aus Standardvertragsklauseln plus Garantien eine ausreichende Datensicherheit gewährleistet. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg z.B. sieht diese Kombination lediglich “…in einer eng begrenzten Zahl von Fallkonstellationen” als ausreichend und ist der Meinung: “…[Daher] stellt (dies) keine Lösung für die Mehrzahl der Datentransfers in die USA dar.”

Der LfDI fordert stattdessen eine Reihe von Verpflichtungen seitens des Datenimporteurs, also des US-Unternehmens, bezüglich

Informationen über Anfragen oder erfolgte Zugriffe seitens Behörden,
der Vermeidung der Datenweitergabe an Behörden durch Nutzung des Rechtsweges,
der Möglichkeit des Betroffenen zur Einforderung von Schadenersatz im Falle der Datenweitergabe
der verschuldensunabhängigen Freistellung des Betroffenen von möglichen Schäden, welche durch den Zugriff von staatlichen Stellen entstehen sowie
der Aufnahme einer Entschädigungsklausel zu Lasten des US-Unternehmens unter bestimmten Bedingungen

Es stellt sich hierbei natürlich die Frage, ob und inwieweit sich die relevanten US-Unternehmen auf solche Bedingungen einlassen. Andererseits ist die Auffassung der Aufsichtsbehörden hier eindeutig: Vorrang hat der Schutz der personenbezogenen Daten der Betroffenen. Wenn US-Unternehmen diesen nicht gewährleisten, dann muss man sich nach Alternativen umsehen oder die Datenverarbeitung in der bisherigen Form einstellen.

Fazit: Sind US-Dienstleister nach dem Ende des Privacy Shields nun tabu?

Sieht man die Regeln und Vorgaben streng, so würde diese desaströse Aussage für eine Vielzahl von US-Unternehmen zutreffen. Es liegt nun an Ihnen, das Problem so klein wie möglich zu halten. Aktualisieren Sie die Verarbeitungsprozesse, überprüfen Sie alle Daten auf ihre Notwendigkeit und suche Sie clevere Alternativen. Wenn sich die betroffenen US-Unternehmen auf möglichst genaue Verpflichtungen einlassen, ist auch eine zukünftige Zusammenarbeit mit diesen Unternehmen selbstverständlich möglich. Eine Datenverschlüsselung sowohl auf dem Transportweg als auch auf den Servern des US-Unternehmens – wobei Sie die Hoheit über die Schlüssel haben – sollte aber ab sofort der Mindeststandard der Datenverarbeitung im Drittland USA sein.

Unsere Top-Vorlagen zum Thema

Vertrag Auftragsverarbeitung nach DSGVO

Anlage TOM

Das große Datenschutz-Paket

Bestellung Datenschutzbeauftragter

Sicherheitshinweise für Administratoren

Sicherheitshinweise für Administratoren

User suchten auch nach folgenden Themen

Eine Frau macht eine abweisende Geste mit der Hand.

Mietrecht

Hausverbot für Ehepartner bei gemeinsamer Wohnung

3 Minuten

Ist es erlaubt, ein Hausverbot für den Ehepartner auszusprechen, obwohl es sich um die gemeinsame Wohnung handelt? Eine Ehe kann früher oder später in die Brüche gehen und das gemeinsame Wohnen ist dann oft unvorstellbar. Das eigene Zuhause soll als Ort der Geborgenheit fungieren, doch kann man, um dies wieder möglich zu machen, den Ehepartner einfach aussperren?

Ein Meeting mit Menschen aus vielen Nationen.

Arbeitsrecht

Betriebsrat muss Meetings auf Englisch akzeptieren

2 Minuten

Müssen Angestellte akzeptieren, dass Meetings auf Englisch abgehalten werden? Mit dieser Frage hat sich das Landesarbeitsgericht Nürnberg auseinandergesetzt.

Ein Mieter packt seine Kleidung in eine Umzugskiste. Er hat seinen Zeitmietvertrag gekündigt.

Mietrecht

Zeitmietverträge vorzeitig kündigen – wann greift Sonderkündigungsrecht?

2 Minuten

Im Normalfall kann ein Mietvertrag bekannter Weise mit Einhaltung einer gewissen Kündigungsfrist jederzeit beendet werden. Die Frage ist, wie sich das bei einem zeitlich befristeten Mietvertrag verhält.

Ein Angestellter mit verzweifeltem Blick starrt auf seinen Schreibtisch. Er plant eine Eigenkündigung wegen Krankheit.

Arbeitsrecht

Eigenkündigung wegen Krankheit – so gehen Sie am besten vor

4 Minuten

Ein schlechtes Betriebsklima, Personalmangel oder die Einführung neuer Techniken – es kann viele Ursachen dafür geben, dass ein Arbeitnehmer wegen Überforderung krank wird. Lesen Sie hier, was zu beachten ist, bevor Sie die Kündigung wegen Krankheit einreichen.

Mietrecht

Immer Ärger mit der Kleinreparaturklausel

3 Minuten

Grundsätzlich ist der Vermieter zur Instandhaltung der Wohnung verpflichtet. Er hat jedoch die Möglichkeit, gewisse Aufgaben durch den Mietvertrag auf den Mieter abzuwälzen. Doch die Rechtsprechung gibt einen engen Rahmen vor.

Jetzt anfordern und 5 eur gutschein sichern!*

Der kostenlose Formblitz-Newsletter

Handlungsempfehlungen zum Ende des Privacy Shields

Bestandsaufnahme – Welche Daten gehen in Drittländer?

Umstände der Datenübermittlung prüfen

Datenschutzerklärung anpassen

US-Dienstleister in die Pflicht nehmen

Standardklauseln reichen nach Ende des Privacy Shields nicht

Das sagen deutsche Aufsichtsbehörden zum Ende des Privacy Shields

Fazit: Sind US-Dienstleister nach dem Ende des Privacy Shields nun tabu?

Unsere Top-Vorlagen zum Thema

User suchten auch nach folgenden Themen