Nachdem der Europäische Gerichtshof (EuGH) das EU-U.S. Privacy Shield für ungültig erklärt hat, müssen Verantwortliche auf andere Datenschutzgarantien zurückgreifen, wenn Sie personenbezogene Daten in die USA übermitteln wollen. Auf für Datentransfers in andere Drittländer (also außerhalb der EU bzw. des EWR) gelten nach dem Urteil neue Anforderungen, wenn Standardvertragsklauseln als Datenschutzgarantie verwendet werden sollen.
Informationen des Europäischen Datenschutzausschusses (EDSA)
Der Europäische Datenschutzausschuss (EDSA) veröffentlichte mittlerweile seine Sichtweise zu den Konsequenzen aus dem Urteil des EuGHs. Wir haben die wichtigsten Aussagen des EDSA für Sie zusammengefasst:
- Der EDSA unterstützt die Europäische Kommission dabei, ein neues rechtskonformes Datenschutzabkommen mit den USA abzuschließen. Es bleibt abzuwarten, ob dies besser gelingt als beim EU-U.S. Privacy Shield, welches bereits als Ersatz für das ebenfalls durch den EUGH gekippte Safe-Harbor-Abkommen diente.
- Der EDSA weist sehr deutlich auf die Pflichten der datenschutzrechtlich Verantwortlichen und Aufsichtsbehörden hin, Drittlandtransfers auf Grundlage von Standardvertragsklauseln (standard contractual clauses, SCC) im Einzelfall zu prüfen und gegebenenfalls einzustellen bzw. zu untersagen, sollte das angemessene Datenschutzniveau im Zielland nicht gewährleistet sein.
- Eine generelle Untersagung von Datentransfers auf Grundlage von SCC in die USA erteilt der Ausschuss zwar nicht, macht aber deutlich, dass solche Transfers nur erfolgen können, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten.
- Der EDSA gibt zum jetzigen Zeitpunkt noch keine Hinweise darauf, wie solche zusätzlichen Maßnahmen aussehen könnten, kündigte aber weitere Hinweise und Leitfäden für solche Maßnahmen an.
- Unternehmen, die nicht wissen, ob bei der Datenverarbeitung auch Daten in ein Drittland gesendet werden, sind in der Pflicht jetzt die Verträge mit den Dienstleistern zu prüfen. Hierunter gehört auch die Überprüfung von möglichen Unterauftragsverarbeitern.
- Bezüglich des EU-U.S. Privacy Shields stellt der ESDA fest, dass es keine Übergangsfrist für Datenverarbeitungen auf Grundlage des vom EuGH für ungültig erklärten Datenschutzabkommens geben wird. Die Umstellung muss ohne Verzögerung stattfinden.
Stellungnahmen deutscher Aufsichtsbehörden
Die deutschen Datenschutzbehörden haben bisher noch keine gemeinsame Stellungnahme verfasst. Einige Aufsichtsbehörden, haben jedoch zu dem Urteil Stellung genommen. Die Äußerungen reichen von gehemmten und vorsichtigen Einschätzungen bis zur Voraussage eines Paradigmenwechsels für internationale Datenübermittlungen und eines generellen Verbots von Datentransfers in die USA.
Wenn Sie in einem der folgenden Bundesländer ansässig sind, sollten Sie diese Stellungnahmen gründlich lesen (Stand 29.07.2020):
Die gemeinsame Stellungnahme der deutschen Datenschutzaufsichtsbehörden zu Datenübermittlungen in Drittstaaten finden Sie hier.
Die Stellungnahme des Bundesbeauftragten für Datenschutz und die Informationsfreiheit (BfDI) finden Sie hier.
Fazit: Es wartet Arbeit auf Ihren Datenschutzbeauftragten
Wenn Sie personenbezogene Daten außerhalb der EU bzw. des EWR – also in einem Drittland – verarbeiten (lassen), sollten Sie jetzt Folgendes umsetzen:
- Überprüfen Sie Ihre internationalen Datentransfers: Haben Sie diese bereits im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO dokumentiert, können Sie diese Dokumentation nutzen, um die Datentransfers außerhalb der EU/des EWR und die Empfänger dieser Daten zu identifizieren.
- Für personenbezogene Daten, die Ihr Unternehmen bislang allein auf Grundlage des EU-U.S. Privacy Shield in die USA übermittelt hat, müssen jetzt alternative Datenschutzgarantien gefunden werden, um diese Übermittlung zu legitimieren. SCC können ggf. als Alternative genutzt werden, Sie müssen aber vorher eine einzelfallbezogene Angemessenheitsprüfung vollziehen.
- Unternehmen, die SCCs verwenden (oder in Erwägung ziehen), müssen die vom EuGH verlangte Prüfung des Datenschutzniveaus im Drittland durchführen. Hierfür ist in einem ersten Schritt die Rechtslage im Zielland u.a. mit Blick auf behördliche Zugriffsbefugnisse auf die übermittelten Daten zu analysieren. Eine gut dokumentierte Risikoanalyse in Bezug auf die übermittelten Daten kann hier hilfreich sein. Es empfiehlt sich, risikorelevante Faktoren wie die Sensibilität der der betroffenen Daten, Umfang der übermittelten Daten (Datenminimierung), eingesetzte technische Mittel wie Verschlüsselung (z.B. Ende-zu-Ende), etc. auszuwerten und zu dokumentieren.
- Überprüfen und aktualisieren Sie Ihre Datenschutzerklärungen auf der Website und Ihre Informationsschreiben nach Art. 13 und 14 DSGVO, soweit diese von dem EuGH-Urteil betroffen sind.
- Bleiben Sie in Sachen Datentransfer auf dem Laufenden – zum Beispiel mit unserem kostenlosen Newsletter. Es ist zu erwarten, dass der EDSA und die deutschen Aufsichtsbehörden weitere Hinweise und Leitlinien zu internationalen Datentransfers außerhalb der EU/des EWR veröffentlichen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis![