Das Privacy Shield ist Rechtsgeschichte: Handlungstipps für Ihr Unternehmen
Der Europäische Gerichtshof (EuGH) hat bekanntlich im Juli 2020 das Privacy Shield Abkommen für ungültig erklärt. Dadurch haben Datentransfers in die USA ihre Rechtsgrundlage verloren.
Was war der Zweck des Privacy Shield?
Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, soweit in diesen sogenannten Drittländern kein mit der EU vergleichbares Datenschutzniveau besteht. Zu diesen Drittländern gehören auch die USA.
Bisher hatte die EU-Kommission den USA durch das Privacy Shield ein angemessenes Datenschutzniveau attestiert.
Welche Bedeutung hat das für Ihr Unternehmen?
Wenn Sie Dienste von Microsoft, Google, Facebook, Mailchimp, Zoom und dergleichen verwenden, sind Sie vom Wegfall des Privacy Shields betroffen, denn diese Dienste speichern Daten auf Servern in den USA oder die Mutterunternehmen in den USA haben Zugriff auf die Daten der Tochterunternehmen in der EU. Das bedeutet, Sie benötigen eine neue Rechtsgrundlage für die Datenverarbeitung.
Standardvertragsklauseln als Alternative?
Ohne das Privacy Shield benötigen Unternehmen nun andere Mittel, um ein adäquates Datenschutzniveau zu gewährleisten. Sogenannte Standardvertragsklauseln können eine Alternative darstellen. Dabei handelt es sich um Musterverträge, die Sie als Verantwortlicher mit dem Datenverarbeiter abschließen können.
Bitte beachten Sie, dass Standardvertragsklauseln inhaltlich nicht geändert werden dürfen.
Leider bietet der Abschluss von Standardvertragsklauseln keine abschließende Garantie für Rechtskonformität, weil die US-Behörden aufgrund von Gesetzen weiterhin Zugriff auf die Daten haben, und zwar auch auf jene, die in der EU gespeichert sind.
Neben Standardvertragsklauseln kommen auch vereinzelt Binding Corporate Rules, andere gesetzliche Ausnahmen oder die Einwilligung der Betroffenen als Rechtsgrundlage in Frage, wobei die Anforderungen an Letztere sehr streng sind und jederzeit werden widerrufen können.
Handlungstipps für Unternehmen
- Identifizieren Sie Datentransfers in die USA oder mit Bezug zu den USA
- Schließen Sie mit diesen US-Anbietern Standardvertragsklauseln ab und übermitteln Sie Ihnen den Fragebogen US-Auftragsverarbeiter
- Prüfen Sie mögliche alternative Anbieter in der EU
- Bestimmen Sie das Risiko für die Betroffenen
- Bewerten Sie Schutzmaßmaßnahmen des jeweiligen Dienstes (Verschlüsselung, Zusicherung der Abwehr von Anfragen von US-Behörden)
- Passen Sie Ihre Verträge und Datenschutzerklärungen an und entfernen sie alle Hinweise auf das Privacy-Shield
Fällt Ihre Beurteilung negativ aus, haben Sie folgende Möglichkeiten:
- Verarbeitung einstellen und eine Alternative wählen (zB Newsletter2go
anstatt Mailchimp) - Anfrage bei der Datenschutzbehörde stellen
- Risiko eingehen
Auseinandersetzung mit der Problematik
Der Abschluss von Standardvertragsklauseln einschließlich der Auswertung des Fragebogens senkt Ihr Risiko, eine Geldbuße zu erhalten. Denn Sie können zumindest gegenüber der Datenschutzbehörde nachweisen, dass Sie sich ernsthaft mit der Problematik befasst und entsprechende organisatorische Maßnahmen ergriffen haben. Demnächst sollte eine weitere Handlungsempfehlung des Europäischen Datenschutzausschusses (EDPB) veröffentlicht werden. Stay tuned!