Hessen only: Dokumentation des 2G-Status zur Befreiung von der Testpflicht in Hessen zulässig

Hessen only: Dokumentation des 2G-Status zur Befreiung von der Testpflicht in Hessen zulässig Seit dem 11. November 2021 gilt mit dem Inkrafttreten der Änderungen der Hessischen Coronavirus-Schutzverordnung (CoSchuV) nunmehr eine Testpflicht für Beschäftigte mit regelmäßigem direktem Kontakt zu externen Personen. Wer sich von der Testpflicht befreien lassen will, kann dies durch einen Negativnachweis, also einem […]

Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)

Das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) Am 01.12.2021 tritt das neue Telekommunikation-Telemedien-Datenschutz-Gesetz, kurz TTDSG in Kraft und enthält Neuerungen für Unternehmen, Websitebetreiber und Agenturen, die Telekommunikationsdienste oder Telemedien benutzen. Das TTDSG muss bei der Nutzung von Over-the-top Kommunikationsdiensten beachtet werden sowie bei dem Setzten von Cookies.

Neue EU-Standardvertragsklauseln

Neue EU-Standardvertragsklauseln Datenaustausch mit Unternehmen im Drittland durch neue Standardvertragsklauseln bis 27. Dezember 2022 absichern Die EU-Standardvertragsklauseln (SCC) geben datenschutzrechtliche Bedingungen für die Übermittlung von personenbezogenen Daten in Drittländer außerhalb der Europäischen Union wieder. Seit dem 16. Juli 2020 sind die SCC durch den Europäischen Gerichtshof als gültiges Instrument für die Bestätigung eines angemessenen Schutzniveaus […]

Übermittlung personenbezogener Daten in die USA

Übermittlung personenbezogener Daten in die USA Was tun ohne Privacy Shield? Zusätzliche Garantien als „Must Have“! Seitdem der Europäische Gerichtshof in seinem Urteil C-311/18 vom 16.07.2020 („Schrems II“) die Ungültigkeit des EU-U.S. Privacy Shield Abkommens erklärt hat, gibt es keinen klaren Fahrplan für die Zulässigkeit von Datenübermittlungen aus der EU in die USA. Wir möchten […]

Löschfristen und Nachweis der Löschung

Löschfristen und Nachweis der Löschung Elektronischer Speicherplatz verursacht heutzutage nahezu keine Kosten mehr. Daher geht die Unternehmenspraxis zumeist den Weg, jegliche Daten einfach aufzubewahren. Das erleichtert, zukünftig Datenanalysen durchzuführen und den unterschiedlichen gesetzlichen Aufbewahrungspflichten nachzukommen. Für viele Daten ist das auch kein Problem und datenschutzrechtlich zulässig.

Update Brexit und Datenschutz: DSGVO nicht mehr anwendbar?

Update Brexit und Datenschutz: DSGVO nicht mehr anwendbar? Bis zum Austritt Großbritanniens aus der Gemeinschaft der Europäischen Union fußten Datenübermittlungen in das Vereinigte Königreich auf dessen Eigenschaft als Mitgliedstaat der EU. Mit dem Brexit wären nunmehr die Regelungen der Datenschutz-Grundverordnung für Datenübermittlungen in Drittstaaten anzuwenden. Eine neue Rechtsgrundlage müsse gewährleisten, dass weiterhin ein angemessenes Schutzniveau […]

Privacy Shield gekippt – Was nun zu tun ist!

Heute hat der EuGH im Verfahren Schrems gegen Facebook (Rechtssache C-311/18) das EU-US-Privacy-Shield ab sofort für ungültig erklärt. Dies hat erhebliche Folgen für den Datentransfer in die USA. Es besteht Handlungsbedarf!!!
Ein Datentransfer in die USA ist somit derzeit nur möglich, wenn zwischen den Vertragsparteien ein spezieller Vertrag zum Datentransfer, der die von der EU-Kommission genehmigten Standardvertragsklauseln (SCC) enthält, abgeschlossen ist oder wenn der Vertragspartner in den USA von einer europäischen Aufsichtsbehörde genehmigte verbindliche interne Datenschutzvorschriften (BCR) umgesetzt hat.
Prüfen Sie, ob Sie Daten in die USA transferieren, z. B. weil ein Dienstleister oder ein verbundenes Unternehmen dort ihren Sitz haben. Wenn Sie Daten transferieren, dann ist im nächsten Schritt zu prüfen, ob die SCC bereits mit dem Unternehmen in den USA geschlossen worden ist. Sofern keine SCC vorliegen, sollten diese schnellstmöglich abgeschlossen werden. Bis zum Abschluss der SCC sollten Sie den Datentransfer in die USA aussetzen. Im Urteil des EuGH sind weitere Anforderungen hinsichtlich der Gestaltung des Prozesses der Datenübermittlungen enthalten, unter anderem Überprüfungspflichten und die Vereinbarung von Informationspflichten des Dienstleisters.
Auch Ihre Dienstleister könnten Ihre Daten in die USA transferieren. Dies ist der Fall, wenn Unterauftragnehmer Ihres Dienstleisters oder mit diesem verbundene Unternehmen in den USA eingesetzt werden. Ihre Auftragnehmer sind durch die Auftragsverarbeitungsvereinbarung verpflichtet, nur Daten in die USA zu transferieren, wenn hierfür eine gültige Rechtsgrundlage, z. B. der Abschluss von SCC, nachgewiesen werden kann. Empfehlung von uns: Gehen Sie auf Ihre Dienstleister zu und fragen Sie nach einem Nachweis darüber, ob SCC mit den Unterauftragnehmern, die in den USA sitzen geschlossen wurden. Bis dieser Nachweis vorliegt, sollten Sie im Rahmen Ihres Weisungsrechts den Datentransfer in die USA untersagen.
Sofern Sie Daten in die USA ohne gültige Rechtsgrundlage übermitteln, droht gem. Art. 83 Abs. 5 lit. c DSGVO ein Bußgeld von bis zu 20 Mio. € oder 4% des Jahresumsatzes, je nachdem welcher Betrag höher ist. Wir gehen davon aus, dass die Aufsichtsbehörden dies in Zukunft verstärkt kontrollieren werden – ähnlich wie beim letzten Urteil, als Safe Habour, der Vorgänger von Privacy Shield, gekippt wurde. Insbesondere wird eine Anpassung der Datenschutzerklärungen notwendig sein. Hier werden wir gerne für Sie tätig.
Sofern Sie eine Facebook-Fanpage betreiben oder Google Analytics verwenden, ist Ihr Vertragspartner die europäische Niederlassung von Facebook oder Google. Die Verantwortung für den Datentransfer in die USA liegt vollständig bei Facebook bzw. Google. Der Betrieb einer Facebook-Fanpage oder der Einsatz von Google Analytics ist also weiterhin möglich.
In den Nutzungsbedingungen für Microsoft-Produkte sind die Standardvertragsklauseln bereits enthalten. Sie können also auch weiterhin Software- oder Cloud-Lösungen von Microsoft einsetzen.
Die Pressemitteilung zum Urteil finden Sie unter:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
Das Urteil finden Sie im Volltext unter:
http://curia.europa.eu/juris/documents.jsf?num=C-311/18