Frag einen Datenschutzbeauftragten!

EU-US-Privacy-Shield ist ungültig! Was Du jetzt prüfen solltest!

5 August 2020

Der US-Privacy-Shield regelte den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen wurden.
YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Frage:

US-EU-Privacy-Shield ist ungültig! Was nun?

Antwort:

Der US-Privacy-Shield regelte den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen wurden. Sie war notwendig, nachdem der Europäische Gerichtshof (EuGH) im Oktober 2015 die bis dahin angewendete Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärt hatte. Am 16. Juli 2020 erklärte der EuGH auch den Angemessenheitsbeschluss der EU-Kommission über das EU-US Privacy Shield durch das Schrems II-Urteil für ungültig.

 

Was Du nun in Deinem Unternehmen prüfen solltest:

  1. Du solltest prüfen, welche Prozesse und Auftragsverarbeitung, in deinem Unternehmen davon betroffen sind. An welchen Stellen setzt Du Softwareprodukte oder Dienstleistungen amerikanischer Unternehmen ein, die in irgendeiner Form personenbezogene Daten erhalten. Dafür sollte natürlich immer ein rechtlich gültiger Auftragsverarbeitungsvertrag existieren.
  2. Wenn ein Auftragsverarbeitungsvertrag vorliegt, solltest Du prüfen, ob auch hier keine amerikanischen Subunternehmer erwähnt sind, die unter Umständen Daten erhalten und weiterverarbeiten. Beispielsweise kann so etwas passieren, wenn Du einen Cloud-Dienst eines europäischen Unternehmens einsetzt, der aber Deine Daten auf den AWS-Server von Amazon speichert.
  3. Du solltest einen Auftragsverarbeitungsvertrag auf Basis der EU-Standardvertragsklauseln abschließen. Die Standardvertragsklauseln sind ein Anhang zur Datenschutzgrundverordnung, die in einer bestimmten Art und Weise Regeln, wie personenbezogenen Daten zu verarbeiten sind.

Weiterführende Links:

Website des Privacy-Shieldshttps://www.privacyshield.gov/welcome

Checkliste des LfDILfDI-BW-Orientierungshilfe-zu-Schrems-II

Auszug der Checkliste LfDI vom 25.08.2020

Wo und wie anfangen?/ Checkliste

  • eine Bestandsaufnahme machen, in welchen Fällen Ihr Unternehmen/Ihre Behörde personenbezogene Daten in Drittländer exportiert;
    darunter können auch Zugriffsmöglichkeiten von privaten oder öffentlichen Stellen in Drittstaaten auf bei Ihnen vorgehaltene Daten zählen, ein physischer Export der Daten ist also nicht erforderlich.
  • sich mit Ihrem Dienstleister/Vertragspartner im Drittland in Verbindung setzen und ihn über die Entscheidung des EuGH und deren Konsequenzen informieren.
  • sich über die Rechtslage im Drittland informieren (öffentliche Stellen wie die Datenschutz-Aufsichtsbehörden, der Europ. Datenschutz-
    Ausschuss (EDSA), die EU-Kommission oder das Auswärtige Amt sollten dazu Hilfestellungen geben können)
  • überprüfen, ob es für das Drittland einen Angemessenheitsbeschluss nach Art. 45 DS-GVO gibt

Für die USA wurde dieser nun für ungültig erklärt, aber für Argentinien, Kanada, Japan, Neuseeland oder die Schweiz besteht diese Möglichkeit z.B. noch, s. eine ausführliche Liste hier: https://ec.europa.eu/info/law/law- topic/data-protection/international-dimension-data-protection/adequacy- decisions_en ;ggfls. können Sie sich auch auf verbindliche interne Datenschutzvorschriften gemäß Artikel 47 (BCRs) berufen

  • überprüfen, ob Sie die von der Kommission beschlossenen Standardvertragsklauseln für das jeweilige Land nutzen können (Art. 46 Abs. 2c DS-GVO) – diese sind abrufbar unter https://eur- lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087.

Dies ist zu verneinen, wenn Behörden oder sonstige Stellen des Drittlandes in unverhältnismäßiger Art und Weise in die Rechte der betroffenen Personen eingreifen können (z.B. ein massenhafter Abruf von Daten ohne Information der Betroffenen und ohne verfahrensrechtliche Sicherungen wie einen Richtervorbehalt) und es keinen wirksamen Rechtsschutz für die Betroffenen gibt.

Für die USA wurde dies vom EuGH verneint. Eine Übermittlung von Daten mithilfe der Standardvertragsklauseln ist in die USA daher nur in eng begrenzten Fällen mithilfe zusätzlicher Garantien (z.B. Verschlüsselung, s.o. und sogleich) möglich.

  • überprüfen, ob Sie die Daten mithilfe der Standardvertragsklauseln und zusätzlicher Garantien in das jeweilige Land übertragen können, Dies beinhaltet insbesondere die Überlegung, ob Sie die Übertragung bzw. den Zugriff durch andere relativ vermeiden können (Verschlüsselung, Vereinbarung, dass die Daten innerhalb des Geltungsbereichs der DS-GVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird)

Um Ihren Willen zu einem rechtskonformen Handeln zu demonstrieren und zu dokumentieren, sollten Sie zudem Kontakt mit dem jeweiligen Empfänger der Daten aufnehmen und sich insbesondere über folgende Änderung der Bestimmungen der Standardvertragsklauseln verständigen:

  • Abänderung Anhang Klausel 4f: Information der betroffenen Person nicht nur bei der Übermittlung besonderer Datenkategorien, sondern bei jeglicher Datenübermittlung (vor oder so bald wie möglich nach der Übermittlung), dass ihre Daten in ein Drittland übermittelt werden, das kein angemessenes Schutzniveau im Sinne der Verordnung (EU) 2016/679 bietet
  • Abänderung Anhang Klausel 5d i: Pflicht des Datenimporteurs, nicht nur den Datenexporteur, sondern auch die betroffene Person unverzüglich zu informieren über alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten; ist diese Informationsweitergabe anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen, müssen Sie sich mit der Aufsichtsbehörde LfDI in Verbindung setzen und das weitere Vorgehen abklären
  • Ergänzung von Anhang Klausel 5 d um die Verpflichtung des Datenimporteurs, den Rechtsweg gegen eine Weitergabe von personenbezogenen Daten zu beschreiten und die Offenlegung der personenbezogenen Daten gegenüber den jeweiligen Behörden zu unterlassen, bis er von einem zuständigen Gericht letztinstanzlich zur Offenlegung rechtskräftig verurteilt wurde
  • Abänderung von Anhang Klausel 7 Abs. 1, nur Aufnahme von b): Befassung der Gerichte des Mitgliedstaats, in dem der Datenexporteur sich niedergelassen hat, mit dem Streitfall, für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht

Aufnahme des in Anhang 2 genannten Beispiels für eine Entschädigungsklausel:

Haftung

Die Parteien erklären sich damit einverstanden, dass, wenn eine Partei für einen Verstoß gegen die Klauseln haftbar gemacht wird, den die andere Partei begangen hat, die zweite Partei der ersten Partei alle Kosten, Schäden, Ausgaben und Verluste, die der ersten Partei entstanden sind, in dem Umfang ersetzt, in dem die zweite Partei haftbar ist.

Die Entschädigung ist abhängig davon, dass

  • der Datenexporteur den Datenimporteur unverzüglich von einem Schadenersatzanspruch in Kenntnis setzt und
  • der Datenimporteur die Möglichkeit hat, mit dem Datenexporteur bei der Verteidigung in der Schadenersatzsache bzw. der Einigung über die Höhe des Schadenersatzes zusammenzuarbeiten.
  • Wenn nach diesen Prüfschritten die Datenübermittlung nicht zulässig wäre, bleibt als letztes Mittel die Übermittlung von Daten nach der Ausnahmevorschrift des Art. 49 DS-GVO.

Dies kann insbesondere in Betracht kommen bei Datenübermittlungen im Konzern oder bei Einzelvertragsbeziehungen. Hier wäre zu prüfen, ob der restriktive Charakter der Norm der Übermittlung nicht entgegensteht.

Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden-Württemberg untersagt werden.

Praxistaugliche Antworten auf Deutschlands größten Datenschutz Video-Blog

Frag einen Datenschutzbeauftragten

Informationen über Frag einen Datenschutzbeauftragten

Wer steckt dahinter?

Stephan Plesnik „Der Enabler“ ist Datenschutzbeauftragter im unserem Team von Datenschutz ist Pflicht. Hauptberuflich ist er Trainer, Coach und Mentor für Persönlichkeitsentwicklung & Unternehmensführung und befähigt Menschen auf ihrem Weg innovativer und nachhaltiger Veränderungen. Auf seinem Kanal „Make . Your . Self“ veröffentlicht er regelmäßig Videos mit Problemlösungen aller Art. Seine Spezialausbildungen reichen von Musik-, Film- und Grafikproduktion über IT-Sicherheit, Datenschutz bis zu Business Transformation Management.

Datenschutz ist Pflicht“ ist eine Marke der Ing.-Büro Dr. Plesnik GmbH und beschäftigt ein großes Team von Datenschutzbeauftragten. Was uns auszeichnet sind die vielfältigen Spezialausbildungen unserer Datenschutzbeauftragten. So sind unsere Mitarbeiter IT-Sicherheitsbeauftragte, Fachinformatiker oder IT-Business-Architekten und nutzen ihre fundierten Kenntnisse der digitalen Technologien, um unseren Kunden den Datenschutz so einfach wie möglich zu gestalten.