+49 (55 03) 9 15 96 48 sorge@DatCon.de

Der US-Privacy-Shield ist weg. Was muss man machen? Was kann man machen?

Die eine Rechtsgrundlage existiert nicht mehr, die andere, die EU-Standardvertragsklauseln für die Zusammenarbeit mit
Dienstleistern in Drittländern, wackelt.
Auch, wenn ganz langsam Licht ins Dunkel kommt, so besteht noch viel Klärung- und Handlungsbedarf bei den Unternehmen. Kann man weiterhin Dienste, wie beispielsweise Microsoft Office 365, Amazon Web Services oder diverse kleine Tools nutzen bzw. in Anspruch nehmen oder drohen Bußgelder bzw. Abmahnungen?

Ja, die EU-Standardvertragsklauseln existieren. Noch!
Allerdings dürfen diese nur unter bestimmten Voraussetzungen genutzt werden. Es muss sich beispielsweise um ergänzende Garantien gekümmert werden. Auch muss geprüft werden, ob es datenschutzkonforme anwendbare Alternativen gibt.

Gab es Reaktionen der Aufsichtsbehörden? Welche?

Bisher sind sie eher zurückhaltend!
Die Aufsichtsbehörde in Berlin äußerte sich sehr eindeutig. Demnach ist es klar die Aufgabe des Unternehmens. Die Unternehmen müssen nun zu Providern in der EU oder in Drittstaaten mit angemessenem Datenschutzniveau wechseln. Als weitere Aufsichtsbehörde hat am 24.08.2020 Baden-Württemberg Handlungsvorschläge veröffentlicht.

  • Stützt sich der US-Datentransfer auf EU-Standardvertragsklauseln, reicht dies zukünftig nur aus, wenn zusätzliche
    Garantien geschaffen werden, wie beispielsweise

    • Einsatz von Verschlüsselungstechniken
    • Umsetzung von Anonymisierung bzw. Pseudonymisierung
    • Umsetzung einer Vereinbarung mit den US-Providern zur ausschließlichen Datenverarbeitung im europäischen Raum
  • Die Ausnahmevorschrift gemäß Art. 49 DSGVO darf nur sehr restriktiv angewendet werden. Bedeutet, dass beispielsweise die Einwilligung oder Vertragserforderlichkeit nur begrenzt Anwendung findet.
  • Das Unternehmen muss den Nachweis eines Willens zum datenschutzkonformen Handeln mit einer individuellen Kontaktaufnahme zu den jeweiligen betreffenden US-Providern liefern.
  • Zudem muss gegenüber den Aufsichtsbehörden nachgewiesen werden, dass es keine datenschutzkonformeren Alternativen für die jeweils eingesetzten Tools und Dienste gibt.

Fazit?
Durch die Empfehlungen der Datenschutzaufsicht in Baden-Württemberg liegt nun ein wenig mehr Klarheit vor.
Aber wichtig zu beachten!
Ein Nachweis bzw. die Dokumentation des „Abwägens“ von Risiken ist auf jeden Fall zu empfehlen, sodass man dies dann
bei einem möglicherweise behördlichen Audit vorlegen kann. Dringend zu empfehlen ist das prüfen, ob vielleicht Dienste
abgeschaltet werden können, wie beispielsweise Google Analytics, wenn die Statistik beispielsweise nie ausgewertet wird.
Das, was das Ganze zudem so prekär macht, ist die Tatsache, dass es keine Übergangsfrist gibt. Gemäß dem EuGH muss
sofort gehandelt werden.
Auch, wenn es vielleicht von Seiten der Aufsichtsbehörden eher Verständnis gibt, so sind es die „netten“ Anwälte, die ihre
Abmahnungen an die Unternehmen senden und auf immateriellen Schaden verweisen.
Lassen Sie uns austauschen und gemeinsam die Risiken bewerten.

Es bleibt spannend!