Sie haben Fragen oder benötigen professionelle Unterstützung?
Rufen Sie uns an unter
030 403 63 36 60.

Das Privacy-Shield ist ungültig. Was kann jetzt getan werden?

Der EuGH macht weiter in Sachen Datenschutz:

Ende Juli wurde dort das „Privacy Shield“-Abkommen für unwirksam erklärt. Somit ist die Hauptgrundlage für den Datentransfer zwischen der EU und den USA entfallen. US-Unternehmen konnten sich zuvor nach dem Privacy Shield zertifizieren lassen und so nachweisen, dass ihr Datenschutzniveau mit dem der EU gleichwertig ist.

Vorangegangen war ein langer Rechtsstreit eines Datenschutzaktivisten gegen Facebook. Aufgrund von verschiedenen Zugriffsmöglichkeiten Dritter und mangelnder Wahrung der Rechte eines jeden Einzelnen, sah der EuGH die geltenden Datenschutzvorschriften nicht eingehalten.

Praktisch bedeutet das, dass viele US-Dienstleister nicht mehr eingesetzt werden dürfen, falls keine andere Rechtsgrundlage zur Datenübermittlung gefunden wird. 

Aber was ist jetzt zu tun?

Neben dem Privacy Shield gibt es auch andere mögliche Grundlagen für eine Datenverarbeitung in den USA. Am praktikabelsten sind wohl die sog. Standardvertragsklauseln, die den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus verpflichten.

Auch wenn bspw. Google zuletzt mit einer Information an alle Nutzer auf die Standardvertragsklauseln umgestellt haben will, bleibt die Wirksamkeit dieses Konstrukts nicht unumstritten. Anstatt sich blind auf Zusicherungen des Dienstleisters zu verlassen, sollte konkreter Recherche ermittelt werden, ob ein gleichwertiges Datenschutzniveau mittels Standardvertragsklauseln garantiert werden kann. Für andere Dienstleister kann die Umstellung auf Standardvertragsklauseln hingegen auch ohne Weiteres sinnvoll sein.

Wir haben die Zeit bisher genutzt, um an einzelne Dienstleister heranzutreten und uns mit anderen Datenschutzbeauftragten auszutauschen. Und wir sind uns alle einig, dass jetzt niemand in blinden Aktionismus verfallen sollte. Vielmehr sehen wir die großen US-Diensteanbieter in der Pflicht, ihr Datenschutzkonzept zu überdenken, wenn sie weiterhin am europäischen Markt rechtskonform teilnehmen wollen.

Wir empfehlen Ihnen derzeit, sich einen Überblick zu verschaffen. Analysieren Sie, welche Dienstleister bei Ihnen eingesetzt sind, die Daten innerhalb der USA verarbeiten.  

Es sollte die letzte Alternative sein, auf den Einsatz der US-Dienstleister voreilig zu verzichten. Manche US-Dienstleister bieten bspw. Möglichkeiten an, die eigenen Daten auf Server innerhalb der EU zu übertragen. 

Dennoch ist anzumerken, dass es derzeitig noch keinen Weg zur absoluten Rechtssicherheit gibt. Dies könnte wohl auch nur ein neues Abkommen zwischen den USA und der EU gewährleisten, wobei aufgrund der aktuellen weltpolitischen Lage in absehbarer Zeit nicht damit zu rechnen ist.

Sobald Entscheidungen über den Umgang mit US-Dienstleistern getroffen wurden, müssen ggf. auch die entsprechenden Passagen in Ihrer Datenschutzerklärung angepasst werden, bei denen noch auf das Privacy Shield Bezug genommen wird.