Der EuGH hat erneut die Regeln für den Datentransfer in die USA gekippt. Das EU-US Privacy Shield gehört damit der Vergangenheit an. Wir unterhalten uns mit Klaus Marwede (inhalt.com) und Stephan Rehfeld (scope & focus) über die Folgen.
Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren
Klaus Marwede ist u.a. Vorstand des inhalt.com e.V. und Geschäftsführer von kmb2. Er ist Industriekaufmann mit Zusatzausbildung im Bereich Datenschutz.
Als Berater arbeitet Klaus Marwede vor allem für mittelständische Unternehmen und Unternehmerfamilien.
Stephan Rehfeld ist u.a. Geschäftsführer der scope & focus Service-Gesellschaft mbH und Datenschutz-Auditor der DQS GmbH.
Als Datenschutz-Auditor, -Manager und -Beauftragter berät Stephan Rehfeld Unternehmen unterschiedlicher Branchen zu Datenschutzfragen.
Wen sollte das Urteil interessieren?
Jedes Unternehmen, welches Personenbezogene Daten in die USA übermittelt.
Hier sind insbesondere die US-amerikanischen Anbieter von Videokonferenzsystemen zu nennen aber auch Anbieter wie Amazon, mit der Amazon Cloud oder Microsoft mit den Office-Produkten sind davon betroffen.
Ist die Datenübermittlung von personenbezogenen Daten in die USA weiterhin datenschutzkonform möglich?
Ja, aber Sie müssen zumindest Ihre bestehenden Dienstverträge prüfen und ggf. anpassen.
Im Rahmen der DSGVO dürfen Daten nur dann in Drittländer übermittelt werden, wenn ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder durch seine internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet.
Dieses muss durch die EU-Kommission festgestellt werden.
Liegt ein solcher Angemessenheitsbeschluss nicht vor, darf die Übermittlung nur erfolgen, wenn geeignete Garantien, wie z.B. die Standarddatenschutzklauseln, in den Verträgen vereinbart sind und auch durchgesetzt werden können.
Mit seinem am 16.07.2020 verkündeten Urteil stellt der Gerichtshof fest, dass der Angemessenheitsbeschluss 2016/1250 nichtig ist.
Hingegen ist der Beschluss 2010/87 über die Standarddatenschutzklauseln weiterhin gültig und die Standarddatenschutzklauseln bleiben den Organisationen als Grundlage für eine Datenübermittlung in Drittstaaten erhalten.
Was ist zu tun?
Bitte prüfen Sie alle Ihre Dienstverträge, die eine Datenübermittlung in die USA regeln. Ermitteln Sie, ob sich die Verträge nur auf das Privacy-Shield-Abkommen stützen oder ob auch die Standarddatenschutzklauseln bereits enthalten sind:
Szenario 1: Standarddatenschutzklauseln vorhanden – Glück gehabt!
Sollten bereits Standarddatenschutzklauseln vereinbart worden sein, sind keine weiteren Schritte notwendig. Im Normalfall sollte dies bei den größeren Anbietern gegeben sein.
In Zukunft ist zu prüfen, ob in dem Empfänger-Drittstaat ein angemessenes Datenschutzniveau herrscht.
Szenario 2: Standarddatenschutzklauseln nicht vorhanden – Sie müssen was tun!
Wenn Sie bisher keine Standarddatenschutzklauseln in den Dienstverträgen vereinbart worden sind und die Grundlage zur Übermittlung das Privacy Shield war, dann müssen Sie wissen, dass diese Datenübermittlung in Drittstaaten ab gestern nicht mehr legal ist.
Bevor Sie jedoch Ihr Geschäftsmodell über den Haufen schmeißen, versuchen Sie mit den Auftragnehmern in Kontakt zu treten und darauf zu drängen, dass die bestehenden Verträge um die Standarddatenschutzklauseln ergänzt werden.
Wenn der Anbieter sich jedoch nicht dazu bereit erklärt, den Dienstvertrag um die Standarddatenschutzklauseln zu ergänzen, müssen Sie selbst auf Grundlage Ihres Risiko-Appetits entscheiden, ob Sie die Geschäftsbeziehung aufrecht erhalten möchten oder lieber nicht.
Finden Sie mit diesen Fragen heraus, ob Sie tätig werden müssen
Die Datenschutz-Aufsichtsbehörde in Rheinland-Pfalz schlägt allen Organisationen nun folgendes Vorgehen vor:
a) Übermittele ich personenbezogene Daten in ein Land außerhalb der EU bzw. dem EWR?
b) Wenn nein, ist die Prüfung hier zu Ende.
Wenn ja: Verwende ich als Transferinstrument im Sinne des Kapitel V DS-GVO Standardvertragsklauseln der EU-Kommission?
c) Wenn nein, ist die Prüfung hier zu Ende.
Wenn ja: Unterliegt der Datenimporteur im Drittland oder dessen Unterauftragsnehmer in meiner Geschäftsbeziehung Gesetzen dieses Drittlandes, die der DS-GVO bzw. Art. 7 oder Art. 8 EU-Grundrechtecharta zuwiderlaufen, so dass die in den Standardvertragsklauseln gegebenen Garantien nicht eingehalten werden können?
d) Wenn nein, ist die Prüfung hier zu Ende.
Wenn ja: Kann die Datenübermittlung auf ein anderes Transferinstrument im Sinne des Kapitel V DS-GVO oder auf einen Ausnahmetatbestand des Art. 49 DS-GVO gestützt werden?
e) Wenn ja, ist alles gut. Passen Sie ggf. Ihre Informationen nach Art. 13 DS-GVO an. Beachten Sie bei der Anwendung des Art. 49 Abs. 1 lit. a DS-GVO, dass die Einwilligung freiwillig, zweckgebunden, informiert und eindeutig erfolgen muss. Wenn nein: Nehmen Sie Kontakt mit künftigen Vertragspartner in Ländern auf, in denen die Daten besser geschützt sind.
Nachzulesen ist der Vorschlag hier: https://www.datenschutz.rlp.de/de/themenfelder-themen/datenuebermittlung-in-drittlaender/
Fazit
Der EuGH stellt klar, dass die Übermittlung von personenbezogene Daten in die USA zu unterlassen ist, wenn weder Standarddatenschutzklauseln noch andere Garantien in den Verträgen vorhanden oder gegeben sind.
Wie die Datenschutzbehörden darauf reagieren ist aktuell noch nicht abzusehen.
Wir empfehlen jedoch dringend Ihre Dienstverträge entsprechend den Handlungsempfehlungen zu überprüfen, da sonst erhebliche Bußgeldrisiken im Raum stehen.
