Am 16.07.2020 hat der Europäische Gerichtshofs (EuGH) den „Privacy Shield“ als Rechtsgrundlage für Datentransfers zwischen den USA und Europa in einer bemerkenswerten und nicht nur von der Fachwelt mit Spannung erwarteten Entscheidung für ungültig erklärt. Viele Kunden von US-Diensten fragen sich nun:
Welche konkreten Auswirkungen hat das Urteil in der Praxis?
Eine von vielen Fragen zum sogenannten Schrems-II-Urteil des Europäische Gerichtshofs (EuGH) ist: Gibt es eine Gnadenfrist für Unternehmen, die ihre Daten auf Grundlage des „Privacy-Shield“-Abkommens in die USA übermitteln?
Wichtige Antworten zu den Auswirkungen des Urteils in der Praxis liefert nun der Europäische Datenschutzausschuss (EDSA).
Zwölf Fragen und Antworten
Der EDSA hat die wichtigsten Fragen zum Datentransfer in Länder außerhalb der EU gesammelt und eine Liste mit den zwölf wichtigsten Fragen und Antworten als PDF veröffentlicht.
Nein zur „Gnadenfrist“
Die Frage nach der Gnadenfrist beantwortet der EDSA mit einem klaren Nein. Die Umstellung müsse ohne Verzögerung begonnen werden.
„Ja, aber“ zu Standardvertragsklauseln
Die sogenannten Standardvertragsklauseln sind dagegen laut EDSA weiterhin eine mögliche Grundlage für den Datentransfer.
Eine Übermittlung von Daten in die USA könne allerdings nur dann über Standardvertragsklauseln begründet werden, wenn die Unternehmen zusätzliche Maßnahmen ergreifen. Diese müssten das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten.
Jetzt Verträge prüfen
Darüber hinaus erklärt der EDSA, welche Maßnahmen notwendig sind, wenn die Datenverarbeitung von Unternehmen und Behörden über einen externen Dienstleister läuft.
Eine Prüfung der Verträge mit den Dienstleistern sei dringend geboten.
Lob vom BfDI
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber lobt in einer Pressemitteilung (abrufbar unter diesem Link) die Veröffentlichung der Fragen und Antworten und betont:
„Jetzt kommt es darauf an, dass die europäischen Datenschutzaufsichtsbehörden ihre beaufsichtigten Stellen intensiv zu alternativen Grundlagen für den internationalen Datenaustausch beziehungsweise Umstellungen beraten“.
Stärkung der Datenschutzgrundrechte
Die Datenschutzkonferenz (Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – DSK) befürworten die FAQ und Antworten des EDSA und beurteilen das EuGH-Urteil äußerst positiv. In einer gemeinsamen Presseerklärung vom 28. Juli 2020 (abrufbar als PDF) heißt es, die DSK „sieht mit diesem Urteil die Datenschutzgrundrechte der Bürger und Bürgerinnen in der Europäischen Union gestärkt“.
Es bleibt spannend
Die Entscheidung des EuGH ist konsequent und nimmt die Anforderungen der DSGVO ernst. Verantwortliche müssen Ihre Datentransfers in die USA auf den Prüfstand stellen und die aufsichtsbehördlichen Empfehlungen und Vorgaben fortlaufend verfolgen und umsetzen.
