I. Ausgangslage – das Urteil des EuGH zum Privacy Shield
Der europäische Gerichtshof hat in seiner so nicht erwarteten Entscheidung vom 16.07.2020 den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogenen Daten in die USA (Privacy Shield) für unwirksam erklärt. Nach Auffassung des EUGH bietet das US-Recht kein Schutzniveau, das dem der EU im Wesentlichen gleichwertig ist. Zentraler Punkt waren dabei die nachrichtendienstlichen Erhebungsbefugnisse von US-Behörden.
Ergänzend hat der EuGH festgestellt, dass die Entscheidung über Standardvertragsklauseln (Standard Contractual Clauses -SCC) grundsätzlich weiter grundsätzlich wirksam ist. Zum Verständnis: Standardvertragsklausel sind von EU-Kommission genehmigte Vertragsklauseln/Datenschutzklauseln, durch die ein hinreichendes Schutzniveau garantiert werden soll (Art. 46 DS-GVO).
Für Unternehmen in Deutschland bedeutet dies insbesondere, dass Dienstleister wie Google, Facebook, Microsoft und AWS (Amazon Web Services) im Bereich Cloud-Computing und Maildienstleistungen nicht mehr (auf Basis des Privacy Shield) eingesetzt werden dürfen.
Damit entstehen zahlreiche Fragen und es entsteht ein rechtliches Vakuum.
Ein kleines Zwischenfazit lässt sich an dieser Stelle schon ziehen: Datenschutzhinweise sind zu ändern bzw. zu streichen, soweit sich diese auf das Privacy Shield beziehen.
Inzwischen liegen erste Stellungnahmen der Datenschutzbehörden sowie der Verbände vor.
II. Datenschutzkonferenz – DSK
Die Position der Datenschutzbehörden in Deutschland ist eindeutig: Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden (Pressemitteilung der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – DSK – vom 28.07.2020). Die deutschen Datenschutzbehörden weisen ausdrücklich darauf hin, dass der EuGH keine Übergangs- bzw. Schonfrist eingeräumt hat.
Zu den Standardvertragsklauseln hat die DSK ausgeführt, dass diese ohne zusätzliche Maßnahmen grundsätzlich nicht ausreichen. Dies liegt auf der Hand, da sich die nachrichtendienstlichen Erhebungsbefugnisse der US-Behörden kaum durch Vertragsklauseln auszuschalten sind.
III. EDSA – Europäischer Datenschutzausschuss FAQ
Auch der Europäische Datenschutzausschuss hat eine erste Stellungnahme abgegeben. Auch hier wird betont, dass es keine Übergangsfristen gibt und der Transfer einzustellen ist, wenn es kein angemessenes Schutzniveau gibt. Auch der EDSA hält die Standarddatenschutzklauseln nicht für ein geeignetes Mittel, um das geeignete Schutzniveau zu gewährleisten.
Die wichtigste Aussage des EDSA ist, dass Unternehmen die zuständige Aufsichtsbehörde informieren müssen, wenn sie trotz fehlenden Schutzniveaus den Datentransfer in die USA aufrechterhalten wollen.
IV. Verbände
Der Berufsverband der Datenschutzbeauftragten (BvD) sieht in erster Linie die Europäische Kommission am Zuge. Es müssten auf europäischer Ebene neue Standardvertragsklauseln erarbeitet werden, die geeignet sind, ohne einzelvertragliche Anpassungen ein hinreichendes Schutzniveau zu bieten.
Die Gesellschaft für Datenschutz und Datensicherheit (GDD) setzt dagegen aktuell auf einzelvertragliche Prüfung und Anpassung von Standardvertragsklauseln.
Fazit:
Trotz der rechtlichen Unsicherheiten ist einfach abwarten keine Option. Wichtig ist, dass sich die Verantwortlichen mit der Problematik beschäftigen und die Optionen prüfen. Folgendes sind die ersten Schritte:
- Überprüfung anhand der Verarbeitungsverzeichnisse, bei welchen Verarbeitungen Daten in die USA übermittelt werden
- Prüfung, ob alternative (europäische) Dienstleister für die Verarbeitung in Betracht kommen
- Überprüfung, ob US-Dienstleister Speicherung auf europäischen Servern anbieten (Microsoft, AWS)
- Einsatz von angepassten Standardvertragsklauseln
- Einholung von Einwilligungen der Betroffenen zur Datenübermittlung in die USA
- Anpassung von Verträgen und Datenschutzerklärungen
Sprechen Sie uns an, wir beraten Sie gerne.