Privacy Shield gekippt – Was nun zu tun ist!

Heute hat der EuGH im Verfahren Schrems gegen Facebook (Rechtssache C-311/18) das EU-US-Privacy-Shield ab sofort für ungültig erklärt. Dies hat erhebliche Folgen für den Datentransfer in die USA. Es besteht Handlungsbedarf!!!
Ein Datentransfer in die USA ist somit derzeit nur möglich, wenn zwischen den Vertragsparteien ein spezieller Vertrag zum Datentransfer, der die von der EU-Kommission genehmigten Standardvertragsklauseln (SCC) enthält, abgeschlossen ist oder wenn der Vertragspartner in den USA von einer europäischen Aufsichtsbehörde genehmigte verbindliche interne Datenschutzvorschriften (BCR) umgesetzt hat.
Prüfen Sie, ob Sie Daten in die USA transferieren, z. B. weil ein Dienstleister oder ein verbundenes Unternehmen dort ihren Sitz haben. Wenn Sie Daten transferieren, dann ist im nächsten Schritt zu prüfen, ob die SCC bereits mit dem Unternehmen in den USA geschlossen worden ist. Sofern keine SCC vorliegen, sollten diese schnellstmöglich abgeschlossen werden. Bis zum Abschluss der SCC sollten Sie den Datentransfer in die USA aussetzen. Im Urteil des EuGH sind weitere Anforderungen hinsichtlich der Gestaltung des Prozesses der Datenübermittlungen enthalten, unter anderem Überprüfungspflichten und die Vereinbarung von Informationspflichten des Dienstleisters.
Auch Ihre Dienstleister könnten Ihre Daten in die USA transferieren. Dies ist der Fall, wenn Unterauftragnehmer Ihres Dienstleisters oder mit diesem verbundene Unternehmen in den USA eingesetzt werden. Ihre Auftragnehmer sind durch die Auftragsverarbeitungsvereinbarung verpflichtet, nur Daten in die USA zu transferieren, wenn hierfür eine gültige Rechtsgrundlage, z. B. der Abschluss von SCC, nachgewiesen werden kann. Empfehlung von uns: Gehen Sie auf Ihre Dienstleister zu und fragen Sie nach einem Nachweis darüber, ob SCC mit den Unterauftragnehmern, die in den USA sitzen geschlossen wurden. Bis dieser Nachweis vorliegt, sollten Sie im Rahmen Ihres Weisungsrechts den Datentransfer in die USA untersagen.
Sofern Sie Daten in die USA ohne gültige Rechtsgrundlage übermitteln, droht gem. Art. 83 Abs. 5 lit. c DSGVO ein Bußgeld von bis zu 20 Mio. € oder 4% des Jahresumsatzes, je nachdem welcher Betrag höher ist. Wir gehen davon aus, dass die Aufsichtsbehörden dies in Zukunft verstärkt kontrollieren werden – ähnlich wie beim letzten Urteil, als Safe Habour, der Vorgänger von Privacy Shield, gekippt wurde. Insbesondere wird eine Anpassung der Datenschutzerklärungen notwendig sein. Hier werden wir gerne für Sie tätig.
Sofern Sie eine Facebook-Fanpage betreiben oder Google Analytics verwenden, ist Ihr Vertragspartner die europäische Niederlassung von Facebook oder Google. Die Verantwortung für den Datentransfer in die USA liegt vollständig bei Facebook bzw. Google. Der Betrieb einer Facebook-Fanpage oder der Einsatz von Google Analytics ist also weiterhin möglich.
In den Nutzungsbedingungen für Microsoft-Produkte sind die Standardvertragsklauseln bereits enthalten. Sie können also auch weiterhin Software- oder Cloud-Lösungen von Microsoft einsetzen.
Die Pressemitteilung zum Urteil finden Sie unter:
https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
Das Urteil finden Sie im Volltext unter:
http://curia.europa.eu/juris/documents.jsf?num=C-311/18