Übermittlung personenbezogener Daten in die USA

Übermittlung personenbezogener Daten in die USA Was tun ohne Privacy Shield? Zusätzliche Garantien als „Must Have“! Seitdem der Europäische Gerichtshof in seinem Urteil C-311/18 vom 16.07.2020 („Schrems II“) die Ungültigkeit des EU-U.S. Privacy Shield Abkommens erklärt hat, gibt es keinen klaren Fahrplan für die Zulässigkeit von Datenübermittlungen aus der EU in die USA. Wir möchten […]

Löschfristen und Nachweis der Löschung

Löschfristen und Nachweis der Löschung Elektronischer Speicherplatz verursacht heutzutage nahezu keine Kosten mehr. Daher geht die Unternehmenspraxis zumeist den Weg, jegliche Daten einfach aufzubewahren. Das erleichtert, zukünftig Datenanalysen durchzuführen und den unterschiedlichen gesetzlichen Aufbewahrungspflichten nachzukommen. Für viele Daten ist das auch kein Problem und datenschutzrechtlich zulässig.

Update Brexit und Datenschutz: DSGVO nicht mehr anwendbar?

Update Brexit und Datenschutz: DSGVO nicht mehr anwendbar? Bis zum Austritt Großbritanniens aus der Gemeinschaft der Europäischen Union fußten Datenübermittlungen in das Vereinigte Königreich auf dessen Eigenschaft als Mitgliedstaat der EU. Mit dem Brexit wären nunmehr die Regelungen der Datenschutz-Grundverordnung für Datenübermittlungen in Drittstaaten anzuwenden. Eine neue Rechtsgrundlage müsse gewährleisten, dass weiterhin ein angemessenes Schutzniveau […]

Privacy Shield gekippt – Was nun zu tun ist!

Heute hat der EuGH im Verfahren Schrems gegen Facebook (Rechtssache C-311/18) das EU-US-Privacy-Shield ab sofort für ungültig erklärt. Dies hat erhebliche Folgen für den Datentransfer in die USA. Es besteht Handlungsbedarf!!!
Ein Datentransfer in die USA ist somit derzeit nur möglich, wenn zwischen den Vertragsparteien ein spezieller Vertrag zum Datentransfer, der die von der EU-Kommission genehmigten Standardvertragsklauseln (SCC) enthält, abgeschlossen ist oder wenn der Vertragspartner in den USA von einer europäischen Aufsichtsbehörde genehmigte verbindliche interne Datenschutzvorschriften (BCR) umgesetzt hat.
Prüfen Sie, ob Sie Daten in die USA transferieren, z. B. weil ein Dienstleister oder ein verbundenes Unternehmen dort ihren Sitz haben. Wenn Sie Daten transferieren, dann ist im nächsten Schritt zu prüfen, ob die SCC bereits mit dem Unternehmen in den USA geschlossen worden ist. Sofern keine SCC vorliegen, sollten diese schnellstmöglich abgeschlossen werden. Bis zum Abschluss der SCC sollten Sie den Datentransfer in die USA aussetzen. Im Urteil des EuGH sind weitere Anforderungen hinsichtlich der Gestaltung des Prozesses der Datenübermittlungen enthalten, unter anderem Überprüfungspflichten und die Vereinbarung von Informationspflichten des Dienstleisters.
Auch Ihre Dienstleister könnten Ihre Daten in die USA transferieren. Dies ist der Fall, wenn Unterauftragnehmer Ihres Dienstleisters oder mit diesem verbundene Unternehmen in den USA eingesetzt werden. Ihre Auftragnehmer sind durch die Auftragsverarbeitungsvereinbarung verpflichtet, nur Daten in die USA zu transferieren, wenn hierfür eine gültige Rechtsgrundlage, z. B. der Abschluss von SCC, nachgewiesen werden kann. Empfehlung von uns: Gehen Sie auf Ihre Dienstleister zu und fragen Sie nach einem Nachweis darüber, ob SCC mit den Unterauftragnehmern, die in den USA sitzen geschlossen wurden. Bis dieser Nachweis vorliegt, sollten Sie im Rahmen Ihres Weisungsrechts den Datentransfer in die USA untersagen.
Sofern Sie Daten in die USA ohne gültige Rechtsgrundlage übermitteln, droht gem. Art. 83 Abs. 5 lit. c DSGVO ein Bußgeld von bis zu 20 Mio. € oder 4% des Jahresumsatzes, je nachdem welcher Betrag höher ist. Wir gehen davon aus, dass die Aufsichtsbehörden dies in Zukunft verstärkt kontrollieren werden – ähnlich wie beim letzten Urteil, als Safe Habour, der Vorgänger von Privacy Shield, gekippt wurde. Insbesondere wird eine Anpassung der Datenschutzerklärungen notwendig sein. Hier werden wir gerne für Sie tätig.
Sofern Sie eine Facebook-Fanpage betreiben oder Google Analytics verwenden, ist Ihr Vertragspartner die europäische Niederlassung von Facebook oder Google. Die Verantwortung für den Datentransfer in die USA liegt vollständig bei Facebook bzw. Google. Der Betrieb einer Facebook-Fanpage oder der Einsatz von Google Analytics ist also weiterhin möglich.
In den Nutzungsbedingungen für Microsoft-Produkte sind die Standardvertragsklauseln bereits enthalten. Sie können also auch weiterhin Software- oder Cloud-Lösungen von Microsoft einsetzen.
Die Pressemitteilung zum Urteil finden Sie unter:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
Das Urteil finden Sie im Volltext unter:
http://curia.europa.eu/juris/documents.jsf?num=C-311/18