Seit 16.07.2020 hat die EuGH das „Privacy Shield“ als unwirksam erklärt und somit die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten zunichte gemacht: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
Was ist das „Privacy Shield“?
Grundsätzlich ist gem. DSGVO die Verarbeitung von personenbezogenen Daten außerhalb der EU verboten, es sei denn die sog. Drittländer bieten ein angemessenes Schutzniveau an. Für die USA war bis jetzt das angemessene Schutzniveau durch die sog. „Zertifizierung“ und den Platz auf der „Privacy-Shield-List“ gewährleistet, die EU-Kommission war damit zufrieden. Doch die US-Unternehmen mussten nicht viel machen, um auf diese Liste zu gelangen, es gab z. B. auch kein Audit durch irgendeine anerkannte Stelle, um eine Zertifizierung zu bekommen, wie wir es in Deutschland kennen.
Deswegen betonte ich immer wieder beim Einsatz von US-Unternehmen: Wir können zwar mit der aktuellen Rechtsprechung und datenschutzrechtlichen Voraussetzungen die Weitergabe von Daten in die USA auf dem Papier regeln, das muss aber nicht bedeuten, dass es wirklich datenschutzkonform ist. Hier sollte man sehr gut überlegen, welche Daten, nicht nur personenbezogene, sondern auch geschäftlich relevante Daten in die USA gegeben werden, denn Datenschutz auf dem Papier und Datenschutz in der Realität deckt sich nicht immer.
Nun ist es soweit, dank der Klage des Datenschutzfreundes und des „Mitverursachers“ der DSGVO, Max Schrems gegen Facebook und dem daraus resultierenden Urteils des EuGHs ist das „Privacy Shield“ nun auch nicht mal mehr auf dem Papier eine wirksame Grundlage für die Datenverarbeitung in den USA.
Was ist zu tun?
Theoretisch dürfen ab jetzt EU-Unternehmen keine US-Dienstleister mehr einsetzen, wenn diese mit personenbezogenen Daten in Berührung kommen. Nach der aktuellen Rechtsprechung kann ich keine andere Aussage machen. Auch Dienstleister, die zwar selbst in der EU sind, aber wiederum US-Dienstleister einsetzen, dürfen nicht eingesetzt werden.
Die logische Konsequenz des Beschlusses des EuGHs wäre, dass die irische Datenschutzbehörde Facebook in EU abschaltet. So viel zum Thema „theoretisch“ und „praktisch“.
Sie können bei Ihren US-Dienstleistern Transparenz einfordern und darauf achten, welche dieser Dienstleister kooperativ reagieren und diese Transparenz mit der Datenverarbeitung auch bieten. Es darf keine Black Boxes mehr geben, auf die tatsächliche Umsetzung von technischen und organisatorischen Maßnahmen sowie die transparente Darstellung der Verarbeitungstätigkeiten kommt es an. AV-Verträge müssen angepasst werden, auch die Datenschutzerklärungen müssen aktualisiert werden – hier muss der Bezug auf das „Privacy Shield“ raus.
Viel wichtiger ist es jedoch, die Transparenz über die Sicherheit von Daten zu verschaffen. Auf unsere Kunden kommen wir vereinzelt zu und werden die Relevanz sowie möglichst sichere und praxistaugliche Maßnahmen durchsprechen / umsetzen.
Der Bundesbeauftragte für den Datenschutz und Informationssicherheit Prof. Ulrich Kelber hat sich zum Thema bereits geäußert und sichert uns intensive Beratung zu: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/17_Schrems-II-Urteil.html