Wonach suchen Sie?

Skip to main content

Weitreichendes Urteil: Was tun nach dem Wegfall des EU-US Privacy Shields?

Seit dem 16. Juli ist es offiziell: Der Beschluss der EU-Kommission vom 12. Juli 2016 über den EU-US Privacy Shield wurde vom EuGH für ungültig erklärt. Betroffene Unternehmen stehen nun vor erheblichen Herausforderungen.

Hintergrund

Grundlage des Urteils im Jahr 2016 war ein Rechtsstreit zwischen dem österreichischen Datenschutzaktivisten Max Schrems und der irischen Datenschutzbehörde. Schrems wollte mit der Einleitung des Verfahrens erreichen, dass das Übermitteln personenbezogener Daten in die USA untersagt wird, da das dort herrschende Datenschutzniveau nicht angemessen sei. Gegenstand hierfür war die personenbezogene Datenübermittlung von Facebook.

Der Privacy Shield ermöglichte es bisher vielen Unternehmen in der EU, personenbezogene Daten von beispielsweise Kunden oder Mitarbeitern in der USA verarbeiten zu lassen. Da die Daten europäischer Bürger vor einem Zugriff von US-Geheimdiensten nicht wirkungsvoll geschützt sind, lehnte der EuGH den EU-US-Privacy-Shield mit dem "Schrems II-Urteil" nun ab. Damit wird die verfassungsmäßig festgeschriebene Selbstbestimmung der Persönlichkeitsrechte für die europäischen Bürger gewährleistet.

Was das für Ihr Unternehmen bedeutet

Ist Ihr Unternehmen verantwortlich für eine Datenübermittlung, sind Sie der Datenexporteur, Ihr Auftragnehmer der Datenimporteur. Sie als Datenexporteur stehen nun vor der Herausforderung, wie Sie die personenbezogenen Daten weiterhin rechtskonform in außereuropäische Länder übermitteln können.

Schaffen Sie sich einen Überblick:

  • Prüfen Sie sämtliche Verarbeitungen, bei denen personenbezogene Daten im Auftrag Ihres Unternehmens erhoben wurden.
     
  • Lassen Sie dabei nicht die Auftragsverarbeitungen durch Ihre Dienstleister, beispielsweise Anbietern von Hard- und Software oder auch Social Media, außer Acht.
     
  • Gehen Sie der Frage nach, ob direkt durch Ihr Unternehmen oder über einen Ihrer Dienstleister ein Datentransfer in die USA stattfindet, der auf dem Privacy-Shield beruht.

Was Sie jetzt tun können

Der Europäische Gerichtshof hat deutlich gemacht, dass die sogenannten EU-Standardvertrags- oder Standarddatenschutzklauseln vom 05. Februar 2010 für den personenbezogenen Datentransfer in ein Drittland unter bestimmten Voraussetzungen weiterhin gültig sind:

Es muss ein Schutzniveau für die personenbezogenen Daten vorhanden sein, welches dem der Europäischen Union entspricht. Das bedeutet: Sie als Datenexporteur sowie Ihr Dienstleister als Datenimporteur stehen in der Pflicht, zu prüfen, inwiefern die Standardvertragsklauseln bereits hinreichende Garantien für die Datenübermittlung der Betroffenen bieten. Die Betroffenen haben das Recht, jederzeit Einspruch gegen die Übermittlung ihrer Daten zu erheben oder dieser gar zu widersprechen.

Handlungsempfehlungen

Für Ihr Unternehmen bedeutet das konkret: Bewerten Sie den Datentransfer hinsichtlich der jeweiligen gesetzlichen Vereinbarkeit im Land Ihres Datenimporteurs neu, um gegebenenfalls zusätzliche Garantien für die Betroffenen zu schaffen.

Zu geeignete Garantien zählen zum einen technische Maßnahmen, vor allem der Einsatz einer Verschlüsselung. Hierbei ist jedoch darauf zu achten, dass die Art und Weise der Verschlüsselung durch Sie selbst festgelegt wird und nicht durch beispielsweise Ihren Cloud-Anbieter. Die Verschlüsselungsverwaltung darf nur in Ihren eigenen Händen liegen.

Des Weiteren ist es möglich, die Standardvertragsklauseln durch zusätzliche Regelungen zu ergänzen. Dadurch verpflichten Sie den Datenimporteur, im Sinne der Datenschutzgrundverordnung zu handeln. Darüber hinaus besteht so für Sie als Datenexporteur die Möglichkeit, eine Genehmigungspflicht für behördliche Datenzugriffe zu vereinbaren. Allerdings dürfen die US-Unternehmen in der Regel keine Auskunft darüber geben, ob ein behördlicher Zugriff auf die personenbezogenen Daten stattgefunden hat. Auch mit einer vertraglich eingeräumten Zustimmungspflicht durch Sie als Unternehmer ist diese Option deshalb als nicht effektiv umsetzbar zu betrachten.

Eine weitere Option stellt der Wechsel zu rein europäischen Anbietern dar, sofern dieser möglich ist. Hier bietet es sich an, das Konzept der Datentreuhänderschaft wieder aufleben zu lassen. Microsoft geht dabei mit gutem Beispiel voran und richtete mit der Deutschen Telekom die Deutsche Microsoft Cloud ein. Dabei fungiert die Telekom als Treuhänder. Ein direkter Zugriff durch Dritte, wie die US-Behörden, ist so nicht mehr möglich. Diese Cloud existiert noch immer. Aufgrund höherer Preise bei geringerem Leistungsumfang im Vergleich zur europäischen Microsoft Cloud, ist das Interesse für die Deutsche Microsoft Cloud jedoch gering.

Eine sichere und TÜV-zertifizierte Alternative bieten Ihnen die Rechenzentren der BADEN CLOUD®. Hier bleiben Ihre Daten in der Region – jederzeit verfügbar, DSGVO-konform und zuverlässig geschützt vor Fremdzugriff.

Ausnahmen für bestimmte Fälle

Der Art. 49 DSGVO berechtigt Sie, in bestimmten Fällen einen personenbezogenen Datentransfer in Drittländer zuzulassen. Hierbei handelt es sich allerdings lediglich um Ausnahmefälle, welche auf „gelegentliche“ Datenübermittlungen begrenzt sind. Diese Ausnahmen gemäß Art. 49 DSGVO sind für die Legitimierung ausgelagerter Geschäftsprozesse grundsätzlich ungeeignet.

Die Experten von ORGATEAM unterstützen Sie

Die Aufsichtsbehörden sind durch den EuGH aufgefordert, ihrem Auftrag nachzukommen. Es ist demnach zu erwarten, dass die personenbezogene Datenverarbeitung Ihres Unternehmens von den Aufsichtsbehörden geprüft und beurteilt wird. Gerne unterstützen wie Sie dabei, Ihren Rechenschaftspflichten nachzukommen und eine geeignete Lösung für Ihr Unternehmen zu finden.

Jetzt Kontakt aufnehmen