Privacy Shield gekippt – aber was bedeutet das nun?

Am 16. Juli hat der Europäische Gerichtshof ein bedeutsames Urteil in Sachen Datenschutz gesprochen: das Privacy Shield wurde gekippt. Das Privacy Shield war ein Abkommen zwischen der EU und den USA, das die DSGVO konforme Datenübermittlung regelt. Denn die DSGVO besagt, dass eine Übermittlung von Daten in ein Drittland (somit außerhalb der EU) eine der folgenden drei Anforderungen erfüllen muss:

  • Es besteht ein Angemessenheitsbeschluss (zB ein Abkommen wie etwa das Privacy Shield)
  • Es gibt geeignete Garantien (zB vertragliche Regelungen, die das gleiche Schutzniveau wie die DSGVO beinhalten oder auch die Standardvertragsklauseln)
  • Es wurde eine Einwilligung vom Betroffenen explizit erteilt

Soweit so gut – bis zum 16. Juli 2020 war eine Übermittlung von personenbezogenen Daten in die USA also DSGVO konform. Nun wurde quasi über Nacht so gut wie jeder Transfer von personenbezogenen Daten rechtlich verunmöglicht. Alle Anwendungen, Tools, etc.,  die Daten in den USA hosten und diese Datenübermittlung bisher auf Basis des Privacy Shields erfolgte, dürfen somit nicht mehr genutzt werden. Es gibt im Rechtsspruch keine Schonfrist, das Urteil wurde mit sofortiger Wirkung gültig.

Wichtig dabei ist,  dass es nicht nur um eine physische Übermittlung von Daten geht. Auch die Nutzung eines Social Media Plug Ins oder einer Fanpage fällt bereits unter Übermittlung. Dies ist essentiell zu verstehen. Denn dadurch ergibt sich eine viel größere Betroffenheit als nur ein „Verschicken von Daten in US Territorium“.

Denn die Grundlage für das Urteil war das mangelnde Schutzniveau in den USA und, dass es kein Rechtsschutzsystem für Nicht-US-Bürger gibt und Daten willkürlich von US Behörden abgesaugt werden können.

Was heißt das nun konkret?

Bereits bei Inkrafttreten der DSGVO hat jedes Unternehmen ein Verarbeitungsverzeichnis erstellen müssen, wenn personenbezogene Daten verarbeitet wurden. Dieses Verzeichnis sollte auch Informationen über die Datenübermittlung und die Rechtsgrundlage dazu beinhalten. Daher bietet es sich nun an, dort anzusetzen und alle Verarbeitungen auf zu listen, die eine Übermittlung in die USA zur Folge haben. Danach ist zu prüfen, ob diese Übermittlung auf Basis des Privacy Shields erfolgte. Wenn dies der Fall ist sollte evaluiert werden, ob es eine Möglichkeit gibt, auf eine Europäische Alternative um zu steigen.

Eine detaillierte Checkliste und eine Auflistung von Europäischen Anbietern für datengetriebene Kommunikation finden DMVÖ Mitglieder in unserem Info-Corner (nur mit Passwort). Um einen Zugang dafür zu erhalten, fülle bitte nebenstehendes Formular aus.

Solltest du keine Alternative finden oder verwenden können, gäbe es noch die Möglichkeit, die sogenannten Standardvertragsklauseln zu nutzen und mit dem Datenverarbeiter in Kontakt treten, ob die Übermittlung darauf gestützt werden kann. Aber – Achtung das Urteil des EuGh hat auch hier eine Zusatzauflage erlassen.

Standardvertragsklauseln alleine nicht genügend

Unterliegt ein Unternehmen in den USA dem FISA Gesetz zur Überwachung – wie dies bei Facebook, Google oder Yahoo durchaus der Fall ist – reichen diese Klauseln nicht und man muss zusätzliche Absicherungsmaßnahmen ergreifen, so der Rechtsspruch. Wie diese aussehen sollen wird allerdings nicht näher erläutert.

Eine Liste von Unternehmen die unter FISA fallen und den Link zu den Standardvertragsklauseln findest du ebenfalls in unserem Info-Corner (nur mit Passwort). Um einen Zugang dafür zu erhalten, fülle bitte nebenstehendes Formular aus.

Der DMVÖ setzt sich gemeinsam mit anderen Interessensvertretungen mit Nachdruck dafür ein, dass hier so schnell wie möglich Rechtssicherheit geschaffen wird. Wir stehen für den Dialog und konkrete Gesprächstermine mit Behörden und Politik jederzeit zur Verfügung und bieten die Expertise der Unternehmenspraxis der datengetriebenen Kommunikationswirtschaft an.

Letzte Möglichkeit: Einwilligung

Diese Rechtsgrundlage ist selbstverständlich immer möglich, in der Praxis steckt der Teufel leider im Detail. Denn es müssen in diesem Fall alle Betroffenen (auch bereits bestehende Kunden) diese Einwilligung abgeben und die Einwilligung unterliegt strengen Anforderungen. Sie darf etwa nicht pauschal oder als Bestandteil eines Vertrages abgegeben werden. Das heißt, dass für jeden Anwendungsfall eine eigene Einwilligung mit der ausdrücklichen Zustimmung gegeben werden muss und auch transparent das Risiko der Datenübermittlung dargestellt werden muss. Das ist in der Praxis vermutlich nicht praktikabel und wirtschaftlich.

Ein Muster als Empfehlung wie diese Einwilligung aussehen kann finden DMVÖ Mitglieder in unserem Info-Corner (nur mit Passwort). Um einen Zugang dafür zu erhalten, fülle bitte nebenstehendes Formular aus.

Alle Maßnahmen sind nur risikoabschwächend

Zusammenfassend bedeutet dies trotzdem,  dass jedes Unternehmen, das personenbezogene Daten in die USA übermittelt,  vermutlich nicht DSGVO – konform agieren kann. Davon ist die gesamte Wirtschaft in Europa betroffen. Trotzdem empfehlen wir dringend, sich mit der Causa zu beschäftigen, die angegebenen Schritte durch zu führen und vorallem zu dokumentieren. Denn auch wenn wir gemeinsam mit anderen Kommunikationsverbänden und der WKO bereits für eine Lösung dieses enormen Problems arbeiten, um wieder Rechtssicherheit zu erlangen, wird dies nicht kurzfristig möglich sein. Daher muss jedes Unternehmen im Falle eines Beschwerdeverfahrens gewappnet sein und nachweisen können, sich aktiv um eine Lösung bemüht zu haben.

Wir haben daher diesen Info-Corner (nur mit Passwort) eingerichtet. Alle DMVÖ Mitglieder erhalten zusätzlich zu Arbeitshilfen auch up to date Infos, wenn es aktuelle Neuerungen gibt. Um einen Zugang für dieses Service zu erhalten, fülle bitte nebenstehendes Formular aus.

Positionspapier des DMVÖ

Positionspapier Causa Schrems II EuGH Urteil vom 16. Juli 2020 in der Rechtssache C 311/18 Data Protection Commissioner / Maximilian Schrems und Facebook Ireland

Informations-Service

für DMVÖ-Mitglieder

Du möchtest  bestmögliche Vorkehrungen rund um das Thema Privacy Shield treffen? Wir stellen laufend aktuelle Informationen und Tipps bereit, was du diesbezüglich tun sollst. Registrier dich jetzt für unser Informations-Service:

Neu-Registrierung

[vfb id=2]

Direktzugang Info-Corner

Bist du bereits für unser Informations-Service registriert und hast du das Passwort erhalten?