DSGVO – Privacy Shield – gefallen – Was ist zu tun?

Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 die Vereinbarung EU-US Privacy Shield mit sofortiger Wirkung für ungültig erklärt (Urteil in der Rechtssache C-311/18 Data Protection Commissioner / Maximillian Schrems und Facebook Ireland).

Was bedeutet das für Unternehmen?

Die Sachlage

Die Unternehmen sind verantwortlich für die Personenbezogenen Daten der Kunden, Mitarbeiter, Interessenten, Lieferanten, … und deren Verarbeitung, die hoffentlich im Verarbeitungsverzeichnis dokumentiert wurden.

Eine Verarbeitung in der EU/EWR ist problemlos und rechtskonform. Eine Verarbeitung der Daten in sogenannten Drittländern kann nur unter besonderen Voraussetzungen ohne Einwilligung der Betroffenen erfolgen:

  1. EU Standard Vertragsklauseln kommen zum Einsatz (spez. Art des Vertrags)
  2. Verbindliche Verarbeitungsregeln im Konzern auch EU Ausland (Datenschutzbehörde muss zustimmen)
  3. Es gibt eine Vereinbarung mit der EU, die Datensicherheit in diesem Land als gleichrangig anerkennt. Das ist mit Ländern wie Schweiz, Canada und vielen weiteren passiert. Bei USA ist dies nicht ausreichend und es wurde gesondert die Vereinbarung Privacy Shield getroffen.

Privacy Shield besagt bei Datenaustausch mit den USA muss sich ein amerikanisches Unternehmen einem Self-Assessment der Amerikanischen Handelskammer unterziehen (Federal Trade Commission), wurde damit als DSGVO konform eingestuft und dadurch ist die Datenweitergabe rechtlich gedeckt.

Da nun diese Option wegfällt, wird die Option 1. EU Standard Vertragsklauseln notwendig. Wobei grössere Unternehmen wie z.B. Microsoft meist schon den Weg der EU Standard Vertragsklausen beschritten haben.

Aktuell gibt es Rechtsansichten bei denen auch die EU Standard Vertragsklauseln durch dieses Urteil problematisch sein könnten – es gibt aber bis dato keine Urteile oder Entscheidungen dazu.

Was ist zu tun ?

Überprüfen aller Datenweitergaben in Drittländer und Adaption der jeweiligen Verträge auf EU Standard Vertragsklauseln – z.B. Google Analytics hat seine Vereinbarungen angepasst.

Diese neuen Vertragstexte in die Datenschutzerklärungen übernehmen und im Verarbeitungsverzeichnis aktualisieren.

Sollten keine angepassten Verträge verfügbare sein bleibt die Möglichkeit der Absicherung durch eine Zustimmungserklärung.

In diesem Sinne bleiben Sie Gesund und Ihre Daten sicher!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

4 × zwei =