Nachdem der EUGH mit seinem Urteil eine Datenübermittlung auf Grundlage des "Privacy Shield" für unzulässig erklärt hat, stellt sich den Unternehmen die Frage "Was tun bei Datenübermittlung in Drittländer?"
Das Privacy Shield wurde gekippt - welche Auswirkungen hat das auf die Unternehmen?
Eine Datenübermittlung ist nach Art. 45 Abs. 1 der DSGVO nur dann zulässig, wenn ein angemessenes Schutzniveau im Empfängerland gewährleistet werden kann. Dies wurde den US-Unternehmen bislang durch die Teilnahme an der "Privacy Shield"-Vereinbarung bescheinigt. Grundlage für die Aufnahme in die Privacy Shield Datenbank war ein Self Assessment, welches allerdings nie von unabhängiger Seite überwacht wurde.
Der EUGH stellte mit seinem Urteil vom 16.07.2020 nun fest, dass die Datenschutzgarantien der USA den Ansprüchen des strengen europäischen Datenschutzes nicht genügen. Die Überwachungsgesetze der USA sind zu weitreichend, als dass das Privacy Shield den EU-Bürger angemessen schützen oder ein Betroffener seine Rechte auf Grundlage der DSGVO geltend machen könnte. Diese Rechte sind aber Teil der Grundrechte jedes EU-Bürgers und in der Grundrechtecharta festgelegt.
Eine Datenübermittlung auf Grundlage des Privacy Shields ist damit illegal. Dies betrifft in den Unternehmen unter anderem die Software- und Serviceleistungen von Microsoft, Facebook oder Google.
Wenn Unternehmen also weiterhin Daten in die USA auf Grundlage des Privacy Shield übertragen, riskieren sie damit Bußgelder.
Welches sind die "sicheren" Länder?
lila: strenge Gesetze gegen staatliche Zugriffe, strenge Datenschutzregeln
grün: Datenschutzregeln in Kraft, Gesetze gegen stattliche Zugriffe
orange: minimale Regulierung staatlicher Zugriffe, eingeschränkter Datenschutz
rot: Datenschutzregeln nicht existent
grau: keine Information, keine Bewertung
Was ist jetzt zu tun?
Das EUGH hat festgestellt, dass die Datenübermittlung auf Grundlage von Standarddatenschutzklauseln (SCC standard contractual clauses) zulässig ist, sofern ein angemessener Datenschutz für die EU-Bürger eingehalten wird.
Der europäische Datenschutzausschuss (EDSA/EDPB) hat einen Maßnahmenkatalog und Empfehlungen für das weitere Vorgehen veröffentlicht (Link zum PDF):
Know your transfers: Überprüfen Sie Ihr Verarbeitungsverzeichnis auf Datenübermittlungen ins Ausland.
Verify the transfer tool: Prüfen Sie, ob das Empfängerland von der europäischen Kommission als "sicher" aufgrund eines angemessenen Datenschutzniveaus erklärt wurde. Bei einem sicheren Land müssen Sie lediglich regelmäßig überprüfen, ob dieses immer noch als sicher gilt. Unsichere Länder (Drittländer) erfordern zusätzlich die Maßnahmen 3 - 6.
Assess the law or practice of the third country: Prüfen und bewerten Sie die Datenschutzpraktiken in dem Drittland, beachten Sie dabei auch die gesetzlichen Praktiken in dem jeweiligen Land: Können die Betroffenenrechte in dem jeweiligen Land umgesetzt werden?
Identify and adopt supplementary measures: Definieren und setzen Sie weitere Maßnahmen um, um das Schutzniveau der Datenübertragung zu erhöhen. Dies könnte auch die Umstellung auf einen Dienstleister innerhalb der EU beinhalten.
Take formal procedural steps: Passen Sie Ihre Verfahren auf die aktuelle Situation unter Berücksichtigung des Art. 46 DSGVO an.
Re-evaluate: Überprüfen Sie Ihre Datenverarbeitungsverfahren regelmäßig auf Aktualität und Veränderungen in der Gesetzgebung. Das Intervall der Überprüfung sollte dabei an die Sensibilität und die Menge er Daten angepasst werden.
Das Dilemma der US-Anbieter
Die Standarddatenschutzklauseln fordern, dass Maßnahmen ergriffen werden, durch die verhindert wird, dass Behörden auf Daten zugreifen können, die nach EU-Recht nicht zulässig sind.
ABER: US-Anbieter müssen sich an US-Recht halten.
Die Folge daraus: der Anbieter macht sich entweder nach US-Recht strafbar (weil er den Zugriff der US-Behörden behindert) oder er kann das von der EU geforderte Datenschutzniveau nicht zusichern.
Wenn der Einsatz von US-Dienstleistern erforderlich ist, können Unternehmen folgende Maßnahmen treffen:
Minimierung der Daten, welche durch den Dienstleister verarbeitet werden
Pseudonymisieren der Daten wo immer möglich und zweckmäßig
Daten verschlüsseln
Risikoanalyse für die Datenübermittlung durchführen
Regelmäßig prüfen, ob es nicht andere Dienstleister mit angemessenem Niveau gibt
Wir unterstützen Sie gerne bei der Überprüfung Ihrer Datenübertragungen und erarbeiten mit Ihnen gemeinsam ein Konzept für die Verbesserung des Datenschutzes in Ihrem Unternehmen.
