14.04.2021

Privacy Shield – game over – was tun?

Das Privacy Shield war ein Abkommen zwischen der EU und den USA, welches die Übermittlung personenbezogener Daten von der EU in die USA regelte. Der Europäische Gerichtshof (EuGH) hat 2020 das EU-US Privacy Shield mit sofortiger Wirkung für ungültig erklärt (Urteil).

Derzeit gibt es keinen Datenverkehr mit den USA auf Basis eines Angemessenheitsbeschlusses. Das hat gravierende Auswirkungen auf sämtliche Datentransfers in die USA, also auf Unternehmen, die mit Vertragspartnern in USA zu tun haben und alle, die Daten in die USA übermitteln – z.B. über cloudbasierte Kommunikationstools, die Einbindung von Social Plugins, Google Analytics, Videos, YouTube etc.

Was aber ist tun, wenn die Rechtsgrundlage dafür jetzt nicht mehr gilt? Müssen Datentransfers jetzt – aus Vorsicht – eingestellt werden? Welche Alternativen gibt es? Welche Sanktionen drohen?

Wenn die datenschutzrechtliche Grundlage für einen Datentransfer in die USA nicht mehr gegeben ist, droht

  • eine Geldbuße in Höhe von 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (siehe Sanktionen)
  • eine Untersagung der Datenverarbeitung durch die zuständige Datenschutzbehörde.

 

Beide Konsequenzen gilt es zu vermeiden. Folgende To-Dos sind daher besonders wichtig:

 

Neu-Evaluierung des Datenmanagements

  • Prüfen der relevanten Datenverarbeitungsprozesse
  • Prüfen inwieweit Kontakte zu Vertrags- oder sonstigen Geschäftspartnern (Tochter- oder Vertriebsgesellschaften etc.) in den USA bestehen oder anderweitig Daten in die USA transferiert werden
  • Prüfen und wenn nötig Anpassen der Datenschutzinformationen und des Verarbeitungsverzeichnisses
  • Prüfen, ob die vorläufige Aussetzung der Datenübertragung möglich bzw. zweckangemessen ist.

 

Neu-Evaluierung des Datentransfers

Wenn man sich bisher auf das Privacy-Shield-Abkommen stützte, ist es sinnvoll, den Einsatz alternativer Rechtsgrundlagen zu überlegen. Dazu gehören:

  • Standarddatenschutzklauseln (SSC),
  • Ad-hoc-Verträge,
  • Binding Corporate Rules (BCR), bei dem sich eine Unternehmensgruppe nach bestimmten Vorgaben verbindliche Datenschutzregeln gibt und ein Datenschutzprogramm einhält, das die zuständige Datenschutz-Aufsichtsbehörde genehmigt,
  • Einholung der ausdrücklichen Einwilligung von betroffenen Personen,
  • Vertragserfüllung,
  • berechtigte Interessen oder Geltendmachung von Rechtsansprüchen.

 

Neu-Evaluierung von Speicherorten

Eine sorgfältige Auswahl von Plattform- und Cloud-Anbietern und die Überprüfung deren Datenschutzregeln.

 

Zusätzliche Maßnahmen:

  • Ähnlich wie eine Datenschutz-Folgenabschätzung (Privacy Impact Assessment, PIA) kann eine Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA) hilfreich sein: Eine Risikobewertung der Faktoren, die mit der Übertragung von Daten in Drittländer zusammenhängen.
  • Abschluss von Standarddatenschutzklauseln (SCC) „plus“ zusätzliche Vertragsklauseln
  • Löschplichten, Anonymisierungs-/Pseudo-Anonymisierungsschritte
  • Prüfung des Rechtes im Bestimmungsland.

 

Empfehlungen des Europäischen Datenschutz-Aussusses beachten!

Weiterbildungsprogramme im Bereich Datenschutz

Kontakt

Gerlinde Ecker, MSc

Programmmanagement Governance Academy - Zentrum für Infrastrukturelle Sicherheit

vCard

Tags