Der EuGH hat das Privacy-Shield-Abkommen gekippt

ACHTUNG, seit dem 10.7.2023 ist dieser Beitrag veraltet, Hinweise zur aktuellen Rechtslage folgen noch heute!

Für jede Weitergabe von personenbezogenen Daten braucht es die Gewissheit, dass ein angemessenes Schutzniveau beim Empfänger herrscht. Das ist in Deutschland und den übrigen Teilen der EU kein Problem, da überall dort die DSGVO gilt und so ein gleichmäßiges Datenschutzniveau garantiert ist. Bisher konnte man sich bei den meisten Datenweitergaben in die USA darauf berufen, dass das dortige Unternehmen sich dem Privacy-Shield-Abkommen unterworfen hat, denn das haben hierzulande die meisten gängigen Anbieter getan. Gekippt wurde dieses Abkommen durch den EuGH, weil US-Behörden zu leicht Zugriff auf die Daten von Betroffenen haben, ohne dass diese eine Rechtsschutzmöglichkeit haben.

Wie geht es also jetzt weiter? Worauf ist  zu achten?

Wer ausschließlich Technologien oder Programme derjenigen großen amerikanischen Anbieter, wie Facebook oder Google, nutzt, die -auch- einen Sitz in Irland haben, für diejenigen ändert sich nichts. In diesen Fällen ist es Sache des Unternehmens, Datenweitergaben in ihr Heimatland zu unterbinden oder eben andere rechtliche Möglichkeiten zu nutzen, unter denen eine Datenweitergabe noch immer möglich ist, den sogenannten Standardvertragsklauseln. Dabei handelt es sich um von der EU-Kommission vorgegebenen Verträgen, in denen sich die Parteien bei der Datenübermittlung zur Einhaltung angemessener Datenschutzstandards verpflichten. Problematisch ist hierbei allerdings, dass viele, gerade kleinere Unternehmen, noch nicht mit Standardvertragsklauseln arbeiten und zum andern, dass hiesige Datenschutzbehörden die prüfen können und müssen, wenn sie Anhaltspunkte dafür haben, die Standardvertragsklauseln würden im jeweiligen Land, in das die Übermittlung erfolgt, nicht eingehalten werden. Dann kann eine solche Übermittlung untersagt werden. Wer nicht abwarten will, ob es dazu kommt oder ob amerikanische Anbieter zukünftig auf europäische Clouds zur Speicherung und Verarbeitung setzen oder es eine Einschränkung der behördlichen Befugnisse in Amerika und damit verbunden ein neues Abkommen gibt, dem können wir nur raten, auf europäische Anbieter zu setzen.

Was es mit diesen Standardvertragsklauseln auf sich hat, und wie diese aussehen, ist sehr gut von der hessischen Datenschutzbehörde erläutert unter: https://datenschutz.hessen.de/datenschutz/internationales/eu-standardvertragsklauseln

Gern können wir prüfen, ob Sie bisher unter dem nun nicht mehr gültigen EU-US-Privacy-Shield Daten in den USA verarbeiten ließen und daher nun auf die Standardvertragsklauseln ausweichen müssen bzw. können.