Privacy Shield ist done, Standardvertragsklauseln sind jetzt das Mittel der Wahl

17 July 2020

 

Der EuGH hat am 16.7.2020 entschieden, dass die Privacy Shield Regelungen nicht mehr anwendbar sind. Die Pressemitteilung des EuGH findent sich hier:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf

Der BfDI hat dazu bereits eine Pressemitteilung veröffentlicht:

"Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber verbindet mit dem heutigen Urteil des Europäischen Gerichtshofes (EuGH) zum internationalen Datentransfer eine Stärkung der Rechte der Betroffenen: „Der EuGH macht deutlich, dass internationaler Datenverkehr weiter möglich ist. Dabei müssen aber die Grundrechte der europäischen Bürgerinnen und Bürger beachtet werden. Für den Datenaustausch mit den USA müssen jetzt besondere Schutzmaßnahmen ergriffen werden. Unternehmen und Behörden können Daten nicht mehr auf der Grundlage des Privacy Shield übermitteln, das der EuGH für unwirksam erklärt hat. Bei der Umstellung werden wir selbstverständlich intensiv beraten.“Der BfDI wird sich bereits morgen mit seinen europäischen Kolleginnen und Kollegen abstimmen: „Der EuGH hat die Rolle der Datenschutzaufsichtsbehörden bestätigt und gestärkt. Sie müssen bei jeder einzelnen Datenverarbeitung prüfen und prüfen können, ob die hohen Anforderungen des EuGH erfüllt werden. Das bedeutet auch, dass sie den Datenaustausch untersagen, wenn die Voraussetzungen nicht erfüllt werden. Sowohl Unternehmen und Behörden als auch die Aufsichtsbehörden haben jetzt die komplexe Aufgabe, das Urteil praktisch anzuwenden. Wir werden auf eine schnelle Umsetzung in besonders relevanten Fällen drängen“.

Der EuGH schafft mit seiner Entscheidung einen klareren Rahmen für den internationalen Datenverkehr mit der Europäischen Union. Dabei stellt er hohe Anforderungen an die besonderen Schutzmaßnahmen wie etwa Standardvertragsklauseln, die Unternehmen und Behörden ergreifen und Aufsichtsbehörden kontrollieren müssen. Der BfDI wird nach Veröffentlichung des gesamten Urteils und den Beratungen im Europäischen Datenschutzausschuss eine weitere Stellungnahme abgeben. Dabei wird es insbesondere um die Überarbeitung der Standardvertragsklauseln durch die Europäische Kommission, als auch um die Notwendigkeit der USA, die Gewährleistung der Grundrechte der europäischen Bevölkerung der von US-Staatsangehörigen gleichzustellen, gehen."
Quelle:  https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/17_Schrems-II-Urteil.html

Unternehmen werde sämtliche Verträge mit Verarbeitung in den USA prüfen müssen, ob diese bereits auf Standardvertragsklauseln umgestellt sind. Ansonsten bleibt zu hoffen, dass die Anbeiter dies unverzüglich tun. Hoffen allein wird aber kaum ausreichen …. Soweit Sie auf Ihren Interntseiten in den Datenschutzerklärungen noch Hnweise auf Privacy Shield haben, sollten SIe diese nun entfernen.

 

Ergänzung vom 24.7.2020
Der Europäische Datenschutzausschuss hat eine FAQ dazu veröffentlicht. Der BfDI zitiert daraus Folgendes (der Link ist aber noch nicht bekannt, na da hätte man vielleicht auch abwarten können):

"Der EDSA gibt zunächst europaweit verbindlich Auskunft zu Fragen, die den Datenschutzaufsichtsbehörden in der vergangenen Woche sehr oft gestellt wurden. So stellt der EDSA beispielsweise fest, dass es keine ‚Gnadenfrist‘ für Datenverarbeitungen auf Grundlage des vom Europäischen Gerichtshof für ungültig erklärten „Privacy Shield“ geben wird. Die Umstellung muss ohne Verzögerung begonnen werden.

Zudem gibt das Dokument Hinweise zur Zukunft der sogenannten Standardvertragsklauseln. Dazu sagte Professor Kelber: „Standardvertragsklauseln sind weiterhin eine mögliche Grundlage für den Datentransfer. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gilt auch für die Übermittlung in andere Länder.“

Der EDSA erklärt außerdem, welche Maßnahmen ergriffen werden müssen, wenn die Datenverarbeitung von Unternehmen und Behörden über einen externen Dienstleister läuft: „Wer nicht weiß, ob bei der Datenverarbeitung auch Daten in ein Drittland gesendet werden, muss jetzt seine Verträge mit den Dienstleistern prüfen.“

 

Ergänzung vom 24.8.2020

Mitlerweile gibt es auch seitens der GDD e.V. eine Handlungsempfehlung für Unternehmen. Sie finden diese Handlungsempfehlung hier.

Bezogen auch das Angemessenheit des Schutzniveaus beim Empfänger des Datenexports empfielt die GDD (bei Standardvertragsklauseln):

"Regelmäßige Überprüfung des Datenimporteurs der EU-Standardvertragsklauseln durch den Datenexporteur auf Hinweise für bestehende, den Standardvertragsklauseln entgegenstehende Gesetze. Hierbei sind insbesondere behördliche Zugriffsmöglichkeiten auf personenbezogene Daten des Datenexporteurs und deren Verhältnismäßigkeit mit Blick auf die gesetzlichen Vorgaben in der EU bzw. im Land des Datenexporteurs zu evaluieren. In die Prüfung des Schutzniveaus können auch Hinweise und Zusicherungen des Datenimporteurs grundsätzlich einbezogen werden (bspw. dass der Datenexporteur unverhältnismäßige und der DS-GVO widersprechende Anordnungen ggf. anfechten wird)."

Hinsichtlich der vertraglichen Maßnahmen wird bei bereits bestehenden Verträgen empfohlen eine Bestätigung des Datenimporteurs einzuholen, dass im Empfängerland nach seinem Kenntnisstand keine Gesetze bestehen, die einer vertragsgemäßen Verarbeitung personenbezogenen Daten entgegenstehen. Je nach Einflussmöglichkeit auf die Vertragsgestaltung mit dem Datenimporteur kann eine Konkretisierung der Zulässigkeit behördlicher Datenzugriffe über eine geschäftsbezogene Klausel aufgenommen werden.

Die Empfehlung enthält noch weitere - z.T. auch optionale - Empfehlungen, so dass sich eine Blick sicher lohnt.