Comp4U Ladeanimation

Nach dem Privacy-Shield-Urteil des EuGH: Checkliste für die Praxis

Vor 2 Monaten erklärte der Europäische Gerichtshof den „EU-US Privacy Shield“ für unwirksam. Gleichzeitig äußerte sich der EuGH auch zur Verwendung der sog. Standardvertragsklauseln als Grundlage für die Annahme eines adäquaten Datenschutzniveaus in Drittländern, insbesondere den USA. Viele Unternehmen hängen seitdem buchstäblich in der Luft und suchen nach Lösungen, um vor allem den Datentransfer in die USA abzusichern. Betroffen davon ist nicht nur die Nutzung der Angebote von US-Dienstleistern, sondern oft auch der Datenverkehr innerhalb von Konzernen.

 Mittlerweile haben einige Aufsichtsbehörden Stellung genommen und Maßnahmen zur Prüfung empfohlen. Wir haben uns diese Empfehlungen angesehen und fassen die wichtigsten Schritte zusammen.

 Wenn Sie mit den Grundlagen zu Privacy Shield und dem EuGH-Urteil nicht vertraut sind, können Sie in unserem Blogbeitrag nachlesen, was der Grund für die Aufregung ist: „EuGH erklärt Privacy Shield für unwirksam – was nun?

 Bitte beachten Sie: Dieser Beitrag beschreibt unsere Meinung zu diesem Thema, er ersetzt keine Rechtsberatung im Einzelfall. Wir orientieren uns bei der Beurteilung vor allem an der Veröffentlichung des Europäischen Datenschutzausschusses  (EDPB) und des Landesbeauftragten für Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI). Wenn Ihr Unternehmen personenbezogene Daten in die USA überträgt, stimmen Sie sich bitte dringend mit Ihrem Datenschutzbeauftragten ab oder nehmen Sie unsere Angebote zur Beratung im Datenschutz in Anspruch. Vor allem für die Gestaltung von Verträgen raten wir Ihnen, sich mit Ihren Rechtsberatern in Verbindung zu setzen.
 

Checkliste für die Überprüfung Ihrer Datenübertragungen in die USA - was ist zu tun?

Diese Checkliste beschreibt die wichtigsten Schritte und bezieht sich auf Datentransfers in die USA, ist aber prinzipiell auch auf alle anderen Drittländer anwendbar. 

Warum sollten Sie prüfen?

 Natürlich sollten Sie in erster Linie das Ziel haben, die Rechte Betroffener ernst zu nehmen und deren personenbezogene Daten vor zu einfachem Zugriff zu schützen.

 Aber auch ohne dass wir es garantieren könnten, gehen wir davon aus, dass sich in Sachen Standardvertragsklauseln und USA in der nächsten Zeit noch viel tun wird. Sollte bis dahin eine Aufsichtsbehörde Ihre Datenübertragungen auf Basis der SCC in die USA prüfen wollen, so kann sich der Nachweis Ihrer bereits erfolgten Beurteilung durchaus lohnen. Natürlich sollten Sie dabei tatsächlich auch zu einem nachvollziehbaren Ergebnis kommen, das die Übertragung rechtfertigt (und nicht bloß „schönredet“). Sie zeigen damit, dass Sie sich mit dem Sachverhalt kritisch auseinandergesetzt haben und zu einem nachvollziehbaren und dokumentierten Ergebnis kommen. Es ist zwar keinesfalls sicher, dass die Behörde Ihrer Einschätzung folgt, aber erfahrungsgemäß spielt die Verhältnismäßigkeit bei der Beurteilung eine große Rolle. Denken sie daher unbedingt daran, alle Schritte und Ergebnisse detailliert zu dokumentieren!

1. Prüfen Sie, ob Sie Daten direkt oder über Dritte in die USA übermitteln

Dazu zählen z.B.:

  • eine Handelsbeziehung mit Unternehmen, die einen Sitz in den USA haben, bei der Sie personenbezogene Daten austauschen. Das können Kundendaten sein (Lieferadressen, Geschäftsvorgänge wie Bestellungen oder Rechnungen, etc.) oder auch Beschäftigtendaten (Arbeitsverträge, Abrechnungsunterlagen, Zeugnisse, etc.). 
  • Speichern von Daten in einer Cloud, die von einem Unternehmen in den USA außerhalb der EU gehostet wird.
  • Nutzung eines Videokonferenzsystems eines Anbieters aus den USA, der dabei Teilnehmerdaten verarbeitet und in die USA übermittelt.
  • Nutzung von europäischen Unternehmen, deren Dienstleistungen Sie z.B als Auftragsverarbeiter in Anspruch nehmen. Viele dieser Dienstleister bedienen sich Subunternehmern, die in den USA sitzen oder Daten zur Verarbeitung in die USA übermitteln.
  • Nutzung von US-Unternehmen, die Ihre Dienstleistungen über europäische Tochterunternehmen anbieten, welche aber trotzdem US-Recht unterliegen können.
     

2. Prüfen Sie die Rechtsgrundlagen, auf denen Sie die Daten übermitteln:

  • Wenn die Übertragung der Daten ausschließlich auf Basis des EU-US Privacy Shields stattfindet, stellen Sie die Übermittlung sofort ein.
  • Wenn Sie die Übertragung auf Grundlage der EU-Standardvertragsklauseln durchführen, fahren Sie mit 3.) fort,
  • Wenn Sie die Übertragung aufgrund anderer Garantien oder Ausnahmeregelungen durchführen, sprechen Sie Ihren Datenschutzbeauftragten direkt an (denn das würde diese Info sprengen).

3. Prüfen Sie, ob Sie weiter Daten an US-Unternehmen übermitteln können:

Informieren Sie dazu Ihren Geschäftspartner oder Dienstleister über die Entscheidung des EuGH und die Konsequenzen und befragen Sie ihn z.B. per Mail, ob er in den Anwendungsbereich der relevanten US Gesetze (U.S.C., Executive Orders, etc.) fällt. Sie können dazu z.B. die nachfolgernden Anfragen verwenden. Die Texte sind frei nutzbare Beispiele des European Center for Digital Rights.

Wichtig: Erwarten Sie nicht immer eine qualifizierte Antwort für Ihren Einzelfall: Gerade große Anbieter informieren Sie per Standarddokument über bereits durchgeführte Maßnahmen oder Verzögerungen bei der Umsetzung von Maßnahmen. Scheuen Sie sich nicht davor zu fragen, wann mit einer Antwort zu rechnen ist und haken Sie nach, wenn Sie sie nicht erhalten.

4. Bewerten Sie das Risiko für die Betroffenen

Abhängig von der Antwort des jeweiligen Unternehmens müssen Sie das Risiko für die Betroffenen bewerten. Je sensibler die Daten sind, desto höher müssen die Schutzmaßnahmen des Verarbeiters ausfallen – oder die Übertragung muss eingestellt werden. 

Mögliche Schutzmaßnahmen sind z.B. 

  • Verarbeitung der Daten auf Servern in der EU,
  • Verschlüsselung,
  • Kein Vorhandensein von Backdoors,
  • Zusicherung der Einzelprüfung und ggfs. Abwehr von US-Behörden-Anfragen,
  • Sind die Zusicherungen verbindlich – und falls durch Änderung der SCC auch wirksam,
  • Vertragsstrafe bei Verstoß gegen die Zusicherungen an den Betroffenen.

Sollten Sie zu dem Ergebnis kommen, dass die Schutzmaßnahmen nicht ausreichen, gibt es folgende Möglichkeiten:

  • machen Sie weiter mit 5),
  • melden Sie den Fall Ihrer zuständigen Aufsichtsbehörde,
  • stellen Sie die Übertragung ein oder
  • nehmen Sie das Risiko eines bewussten Rechtsverstoßes auf sich.

5. Prüfen Sie, ob es Alternativen zum gewählten Dienst gibt

Sie sollten immer prüfen, ob es einen Dienst gibt, der gleichwertig zum in Frage stehenden Dienst ist: Dabei dürfen Sie berücksichtigen, ob Bedienung, Funktionsumfang, Sicherheitsniveau und Kosten gleichwertig oder besser sind. Sollte das nicht möglich sein oder die Umstellung nur mit einer starken Einschränkung im Leistungsumfang möglich sein, können Sie das ggfs. als Argument für die Weiternutzung des US-Anbieters anführen.


6. Ergänzen Sie ggfs. die Standardvertragsklauseln

Bei der Risikobewertung wurden vertragliche Zusagen als Schutzmechanismus aufgeführt. Auch wenn sich die Behörden uneinig über die Aufnahme dieser Zusagen in den eigentlich nicht veränderbaren Standardvertragsklauseln sind, nennt „Der Landesbeauftragte für den Datenschutzund die Informationsfreiheit Baden-Württemberg“ doch klare Möglichkeiten zur Anpassung, die wir im Zweifelsfall empfehlen. Mehr dazu unter in der Orientierungshilfe unter diesem Link.

7. Passen Sie Ihre Datenschutzerklärungen an 

Prüfen Sie dringend Ihre Datenschutzinformationen auf der Website, an Kunden oder Geschäftspartner, Beschäftigte und Bewerber: Sie sind nicht nur verpflichtet über die Übermittlung von Daten in ein Drittland zu informieren (was sie sicherlich schon tun), sondern auf über den Transfermechanismus. Sollten Sie dort noch Privacy Shield verwenden, passen Sie es auf die neue Regelung an.

8. Passen Sie Ihre Verarbeitungsverzeichnisse an

Analog zu 7. prüfen Sie auch Ihr Verarbeitungsverzeichnis: Wenn Sie dort Übertragungen in die USA dokumentieren, passen Sie auch hier ggfs. die Grundlagen an – Privacy Shield darf nicht mehr genutzt werden.

 

Fazit: Viel Arbeit?

Ja, wir stimmen zu: Kein Mensch weiß, wie es weitergeht und wie lange eine neue Regelung auf sich warten lassen wird. Soll man warten und ein Risiko eingehen oder für alle seine US-Dienstleister die o.g. Prüfungen durchführen, Risiken abwägen und Alternativen suchen? Was werden die Aufsichtsbehörden tun – Bußgelder gegen tausende Unternehmen in Deutschland verhängen und sie damit zum Leidtragenden der Politik machen? Oder schauen sie vorerst nicht so genau hin und ziehen dem europäischen Tiger damit die Zähne? 

Die Situation ist zumindest unglücklich und bedarf einer schnellen Lösung. Aber behalten wir dabei immer im Auge, dass Datenschutz nun einmal mit dem Schutz von Daten zu tun hat - auch wenn es unbequem und, wie hier, unpraktisch ist. Solange Geheimdienste uneingeschränkt und ansatzlos Datenströme prüfen dürfen, muss für klare Regelungen gesorgt werden. Damit bewerten wir ausdrücklich nicht, dass die Prüfung nicht berechtigt sein kann – aber Betroffene müssen informiert werden und ein Recht auf Intervention haben.

Sprechen Sie mit Ihrem Datenschutzbeauftragten oder nehmen Sie Kontakt mit uns auf - wir beraten Sie individuell und persönlich!