Am 16. Juli 2020 hat der europäische Gerichtshof (EuGH) das EU-US Privacy Shield für rechtswidrig erklärt (Rs. C 311/18 - Lesen Sie hier den Hintergrund zur EuGH-Entscheidung). Dieser Umstand hat enorme Auswirkungen auf Datentransfers in die USA. Mit den nachfolgenden FAQs möchten wir Ihnen einige Handlungshilfen geben.
Wer ist betroffen?
Für Unternehmen (Verantwortliche / Auftragsverarbeiter) ist das relevant, sofern sie Dienstleister einsetzen oder Technologien auf Ihren Webseiten nutzen, welche Daten in die USA übertragen oder aus den USA auf Daten zugreifen. Gleichermaßen sind Dienstleister und Anbieter von Technologien betroffen (egal ob in der Rolle als Verantwortlicher oder Auftragsverarbeiter).
Warum sollte ich unverzüglich handeln?
Für eine Umstellung der vertraglichen Regelungen gibt es keine Übergangsfrist. Das heißt: Unternehmen laufen Gefahr in den Radar der Aufsichtsbehörden zu gelangen, wenn sie noch nichts unternommen haben, aber Daten in die USA transferieren.
Es wurden bereits nach unserer Kenntnis 101 Beschwerden gegen Unternehmen in 30 EU- und EWR-Mitgliedsstatten durch die Organisation NOYB wegen Datentransfers in die USA ohne hinreichende Datenschutzgarantien eingereicht.
Ferner plant der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg zeitgleich mit anderen deutschen Aufsichtsbehörden in einem groß angelegten Verfahren, Online-Angebote auf eine rechtskonforme Einbindung von Tracking-Technologien zu prüfen. Hierzu sollen Cookie Banner untersucht werden, ob sie die Anforderungen der DSGVO einhalten. Die Pressemitteilung können Sie hier einsehen.
Was muss ich tun, wenn ich betroffen bin?
Mittlerweile hat sich herauskristallisiert, welche Richtung nach Wegfall des EU-US Privacy Shields eingeschlagen wird. Als Orientierungshilfe für die vorzunehmenden Schritte hat die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) Handlungsempfehlungen für Unternehmen veröffentlicht.
Auch der LfDI Baden-Württemberg hat als erste Aufsichtsbehörde eine erste Orientierungshilfe veröffentlicht.
Die ersten Schritte, die aus unserer Sicht ergriffen werden sollten, sind:
- Identifizierung aller Datenströme in Länder außerhalb der EU/des EWR.
- Benennung der vorhandenen Datenschutzgarantien (z.B. EU-Standardvertragsklauseln).
- Ermittlung von Art, Umfang und Zweck der Datenübermittlung.
- Anfrage bei dem Dienstleister, welche Maßnahmen ergriffen wurden, um den Wegfall des Privacy Shields zu begegnen.
- Gegebenenfalls gezielte Nachfrage, ob der Dienstleister, den als bedenklich eingestuften Regelungen unterliegt (beispielsweise FISA für USA).
- Prüfung anhand der Antworten, ob Datenübermittlungen mit anderen Schutzmaßnahmen abgesichert werden können.
- Prüfung der Auftragsverarbeitungsverträge (AVV), insbesondere ob genehmigte Unterauftragsverhältnisse vorliegen, welche Daten in Drittländer übermitteln oder einen Zugriff eines Drittlandes ermöglichen.
Nachdem die obigen Punkte aufgeklärt sind, sollte eine individuelle Entscheidung darüber getroffen werden, wie weiter zu verfahren ist.
Ein Anpassungsbedarf kann sich insbesondere ergeben für:
- Datenschutzhinweise: Beispielweise bei Datenschutzerklärungen, Datenschutzhinweise an Mitarbeiter, App-Nutzer oder Websitebesucher.
- Auskunftsersuchen: Neben Informationen zu Datenübermittlungen in Drittländer sind auch Angaben zu den Datenschutzgarantien zu tätigen.
- Verarbeitungsverzeichnis: Die Anpassung der Informationen zu Datenempfängern in Drittländern und die Dokumentation der ergriffenen Schutzmaßnahmen erleichtert die Anpassung der Datenschutzhinweise als auch die Beantwortung der Auskunftsbegehren.
- Technisch organisatorische Maßnahmen (TOM): Mittels ergriffener TOM, wie beispielweise von Verschlüsselungstechnologien, kann zusätzliche Sicherheit gewährleistet werden.
Was sagen die Aufsichtsbehörden?
Die Aufsichtsbehörden positionieren sich gegenwärtig überwiegend zaghaft. Hier finden Sie eine Übersicht über Stellungnahmen deutscher, ausländischer als auch internationaler Behörden. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat sich hingegen klar positioniert: In Berlin datenverarbeitenden Stellen sollen, in USA gespeicherte personenbezogene Daten nach Europa verlagern.
Der Wegfall des EU-US Privacy Shields stellt Betroffene daher vor erhebliche Herausforderungen. An einem Nachfolgeabkommen wird gearbeitet. Es ist aber noch vollkommen unklar, wann dieses verabschiedet wird. Bis dahin können noch mehrere Monate vergehen.