Privacy Shield

Am Donnerstag, den 16.07.2020 wurde durch den EuGH in der Entscheidung „Schrems 2“ die sogenannte EU-US-Privacy Shield-Regelung (Privacy Shield) für unwirksam erklärt.

Im Privacy Shield wurden Frameworks und Prinzipien vom US-Wirtschaftsministerium ausgearbeitet, die die Erfassung, Verwendung und Aufbewahrung von personenbezogenen Daten, welche aus der EU übertragen werden, regelten. Bis zur Entscheidung „Schrems 2“ vom 16.07.2020 galten die Frameworks des Privacy Shield als DSGVO-konformer Standard für die Datenübermittlung von der EU in die USA.

Im Zuge dieser Entscheidung wurde festgestellt, dass das Datenschutzniveau in den USA im Fall des Privacy Shields unzureichend und ein zuvor damit begründeter Datentransfer von nun an rechtswidrig ist. Das Hauptproblem hinsichtlich des Datenschutzniveaus in den USA ist der weitgehende Zugriff der US-Behörden ohne eine gerichtliche Überprüfung. Dies verstößt gegen die DSGVO und die Charta der Grundrechte der Europäischen Union.

Um Verwaltungsstrafen zu vermeiden, müssen die betroffenen Datenverarbeitungen entweder sofort eingestellt oder rechtlich anders begründet werden.


Wir empfehlen Ihnen anlässlich der aktuellen Situation folgendes Vorgehen:

Eine alternative Möglichkeit zur Rechtfertigung der Datenübermittlung stellt der Abschluss von sogenannte EU-Standardvertragsklauseln mit Drittlandanbietern dar. Diese können aber nur bedingt Abhilfe schaffen, weil in der Entscheidung „Schrems 2“ festgestellt wurde, dass Standardvertragsklauseln nur dann als Rechtsgrundlage für Datentransfers in Drittländer dienen können, wenn das Datenschutzniveau auch tatsächlich gewahrt wird. Um als Verantwortlicher dieser Pflicht nachzukommen, empfehlen wir Ihnen zusätzlich an den Dienstleistungsanbieter aus dem Drittstaat den Fragebogen zu übermitteln, den sie am Ende verlinkt finden.
 

1. Ermitteln Sie alle Dienstleister aus den USA, die Sie nutzen, und prüfen Sie, ob für die Übermittlung der Daten in die USA zur Gewährleistung des angemessenen Schutzniveaus allein auf eine Privacy Shield-Zertifizierung des Dienstleisters gesetzt wurde oder ob EU-Standardvertragsklauseln vertraglich vereinbart worden sind. Überprüfen Sie, ob der Privacy Shield in Ihren Datenschutzerklärungen und Ihrem Verzeichnis über Verarbeitungstätigkeiten angegeben wurde und passen Sie diese ggf. an
    
2. Prüfen Sie, ob die Übermittlung bestimmter Daten unterbleiben oder z.B. mittels Verschlüsselung ein faktischer Zugriff durch den Anbieter unterbunden werden kann.
    
3. Wenn die Basis nur der Privacy Shield ist, prüfen Sie, ob Sie auf den Dienstleister verzichten und das Vertragsverhältnis kündigen können. Das EuGH-Urteil bietet hier ggf. die Möglichkeit einer fristlosen Kündigung.
    
4. Wenn Sie auf den Dienstleister nicht verzichten können oder wollen, dann kontaktieren Sie Ihren Ansprechpartner bei dem Dienstleister, weisen auf das EuGH-Urteil zur Unwirksamkeit des Privacy Shields hin und fragen nach, ob kurzfristig der Abschluss der sog. EU-Standardvertragsklauseln möglich ist. In diesem Zusammenhang evaluieren Sie mit dem unten verlinkten Fragebogen das Datenschutzniveau im Drittstaat.
    
5. Wenn der Dienstleister nicht bereit sein sollte, die EU-Standardvertragsklauseln abzuschließen oder sofern ein Abschluss dieser nicht möglich ist (aufgrund eines unangemessenen Datenschutzniveaus), sollte der Dienstleister nach Möglichkeit nicht mehr eingesetzt werden. In bestimmten Fällen bleibt dann nur die Möglichkeit auf in Art. 49 DSGVO enthaltene Ausnahmen zurückzugreifen.

• Vorliegen der Einwilligung der betroffenen Person
• Die Übermittlung der Daten ist für die Vertragserfüllung erforderlich
• Wichtige Gründe des öffentlichen Interesses
• Die Datenübermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich
• Zum Schutz lebenswichtiger Interessen
• Die Übermittlung erfolgt aus einem Register zur Information der gesamten Öffentlichkeit oder Personen mit berechtigtem Interesse bestimmt ist

Bezüglich der Beurteilung, ob eine der Ausnahmen im jeweiligen Fall zutrifft, können Sie sich gerne auch an uns wenden.

Beim hier empfohlenen Vorgehen handelt es sich um Sofortmaßnahmen, die in der aktuellen Situation gesetzt werden sollten. Da es sich um eine sehr junge EuGH-Entscheidung handelt, müssen die weiteren rechtlichen Entwicklungen der nächsten Wochen abgewartet werden. Sowohl die einzelnen IT-Dienstleister als auch die EU-Kommission arbeiten an einer Lösung. Wir halten Sie natürlich auf dem Laufenden und sind für weitere Fragen für Sie jederzeit erreichbar.

Nähere Informationen finden Sie unter anderem auf https://noyb.eu/de und https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf
 
Fragebögen:

• Mustervertrag an US-Datenimporteure, sofern Sie sich weiterhin auf die Standardvertragsklauseln verlassen
• Mustervertrag an Anbieter, die Daten in der EU/EWR verarbeiten, aber US-Beziehungen haben