Ein Schaubild zur Entscheidung des EUGH zum Thema Privacy Shield.

Was bedeutet die EUGH-Entscheidung zum EU/US-Privacy Shield für die Praxis?

17. Juli 2020 | Datenschutz-Grundverordnung (EU DSGVO), Datenschutz

Der EUGH hat das EU/US-Privacy Shield für unwirksam erklärt. Für die Praxis bedeutet dies Unsicherheiten und Anpassungen beim eigenen Datenschutz. Was alles zu beachten ist, erfahren Sie hier.

Der EUGH hat mit der Erklärung der Unwirksamkeit des EU/US-Privacy Shields die Hauptgrundlage vom Datentransfer zwischen der Europäischen Union und den Vereinigten Staaten von Amerika beendet. Doch ohne eine verbindliche Grundlage ist es Unternehmen kaum möglich, personenbezogene Daten rechtssicher außerhalb der EU zu verarbeiten. Das Problem besteht bei den USA darin, dass diese als Drittland gekennzeichnet sind und US-Behörden Prüfungsrechte haben, bei denen EU-Bürger nicht widersprechen können.

Die Begründung des EUGH beruht auf der Tatsache, dass genau diese Punkte als ein zu geringes Datenschutz-Niveau eingestuft werden. In der Praxis muss jetzt jedes Unternehmen selbst entscheiden, wie der jeweilige rechtssichere Weg aussieht.

 

Was müssen Unternehmen jetzt zum Privacy Shield wissen?

Durch die Entscheidung des EUGH fehlt es an einer verbindlichen Rechtsgrundlage, die es Unternehmen ermöglicht, sicher zu agieren. Dies betrifft US-amerikanische Unternehmen wie Google oder Facebook und die europäischen Unternehmen mit der Verwendung US-amerikanischer Dienste.

Entsprechend sollten folgende vier Punkte geprüft werden:

 

Keine US-Dienstleister einsetzen

  • Setzen Sie keine Dienstleister ein, die Daten in den USA verarbeiten
  • Prüfen Sie die Dienste auf Notwendigkeit und beenden Sie die Zusammenarbeit.
  • Starten Sie einen Evaluationsprozess um Alternativen zu finden

 

Bei US-Dienstleistern auf EU-Server ausweichen

  • Nutzen Sie stets die Möglichkeit Ihre Daten auf EU-Servern zu speichern
  • Erkundigen Sie sich beim Anbieter, ob EU-Server demnächst verfügbar oder aufgrund der EUGH-Entscheidung in Planung sind

 

Keine Unternehmen mit US-Subunternehmern einsetzen

  • Setzen Sie keine Dienstleister ein, deren Subunternehmer die Daten in den USA verarbeiten.
  • Vergewissern Sie sich, dass bestehende US-Subunternehmen tatsächlich keine Daten in den USA verarbeiten

 

Standardvertragsklauseln nicht als Lösung ansehen

  • Setzen Sie nicht auf die Standardvertragsklauseln, da diese nach Auffassung des EUGH nur wirksam sind, sofern diese das entsprechende Datenschutz-Niveau aufweisen
  • Prüfen Sie bestehende Standardvertragsklauseln auf Aktualität

 

Verträge und Datenschutzhinweise anpassen

  • Prüfen Sie Ihre Verträge auf Hinweise zur Datenverarbeitung in den USA
  • Arbeiten Sie ggf. neue Verträge aus, die die Datenverarbeitung genauer regeln und Alternativen aufzeigen (dies ist nur in seltenen Fällen möglich)
  • Passen Sie Ihre Datenschutzerklärung(en) an
  • Entfernen Sie Hinweise auf das EU/US-Privacy Shield

Zwar gibt es auch die Möglichkeit abzuwarten, jedoch ist diese Option im Falle von fragwürdigen Verträgen oder Dienstleistern nicht zu raten. Wir empfehlen daher zuerst zu prüfen und sich einen Überblick zu verschaffen, um für weitere Urteile und Entscheidungen der Datenschutzbehörden besser vorbereitet zu sein. Sollte zum Beispiel ein kaum in Anspruch genommener Dienstleister festgestellt werden, so ist dies die optimale Gelegenheit, die Zusammenarbeit zu beenden.

„Proaktives Handeln ist jetzt deutlich anzuraten, um drohende Rechtsfolgen auf ein Minimum zu beschränken.“

 

 

Titelbild: © André Sandner – andre-sandner.com & stock.adobe.com

  1. Start
  2. /
  3. Datenschutz
  4. /
  5. Was bedeutet die EUGH-Entscheidung zum EU/US-Privacy Shield für die Praxis?