"Gute Beratung setzt einen verlässlichen Informationsfluss voraus. Als vertrauensvoller Partner schaffen wir mehr als nur durchgehende Kostentransparenz."
Newsletter Kanzlei Schiedermair

Newsletter

Einführung

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16. Juli 2020 den seit 2016 bestehenden Beschluss der Europäischen Kommission über die Angemessenheit des vom sog. EU-US Privacy Shield („Privacy Shield“) gebotenen Datenschutzes für unwirksam erklärt. Die sog. Standardvertragsklauseln der Europäischen Kommission sind demgegenüber nach Auffassung des EuGH nach wie vor grundsätzlich gültig. Es besteht dringender Handlungsbedarf für zahlreiche Unternehmen, denn der EuGH hat keine Übergangs- bzw. Schonfrist zur Reaktion auf sein Urteil eingeräumt.

Bewertung

Der Wegfall des Privacy Shield ist relevant für alle Unternehmen, die personenbezogene Daten z.B. von Nutzern und Kunden, Mitarbeitern oder auf einzelne Anwender bezogene Gerätedaten an Geschäftspartner oder auch verbundene Unternehmen in die USA übermitteln – und zwar ohne Rücksicht darauf, ob das Unternehmen selbst oder ein Dienstleister handelt.

Betroffen sind u.a. Dienste von sozialen Netzwerken, Werbe-Dienste, Tracking-Dienste, Newsletter-Anbieter, Musik- und Videoplattformen, sowie Videokonferenztools und insbesondere US-amerikanische Cloud-Dienste, da sich deren Server zumeist in den USA befinden. Ebenso muss handeln, wer sich externer Dienstleister – zum Beispiel für die Lohnbuchhaltung – bedient. Erhöhte Vorsicht sollten zudem Unternehmen mit Sitz in den USA und europäischen Niederlassungen oder Tochtergesellschaften walten lassen; mit Wegfall des Privacy Shield fehlt es hier u.a. an einer Grundlage für die konzerninterne Übermittlung personenbezogener Daten von Arbeitnehmern in die USA.

Aber auch Unternehmen, die bislang bereits mit den Standardvertragsklauseln der Europäischen Kommission arbeiten oder kurz- bis mittelfristig auf diese umstellen möchten, müssen jetzt tätig werden und im Einzelfall prüfen, ob die hierin enthaltenen Garantien für die Übermittlung von Daten in Länder außerhalb der Europäischen Union in der Praxis tatsächlich verwirklicht werden können oder ob zusätzliche Garantien vereinbart werden müssen. Es ist davon auszugehen, dass diverse Diensteanbieter von sich aus auf Standardvertragsklauseln umstellen werden. Wo dies nicht der Fall ist, muss nach Alternativen etwa innerhalb der EU oder in anderen Ländern mit einem ausreichenden Datenschutzniveau gesucht werden.

Praxisempfehlungen

Für Unternehmen ist es unumgänglich, umgehend aktiv tätig zu werden. Datenschutzverstöße können mit einem Bußgeld von bis zu € 20 Millionen oder vier Prozent des weltweiten Konzernjahresumsatzes geahndet werden.

Es empfiehlt sich zunächst die eigenen Datenschutzerklärungen und daneben auch die Datenschutzerklärungen der jeweiligen Diensteanbieter auf eine Einbeziehung des Privacy Shield zu prüfen. Dienste, die nicht datenschutzkonform eingesetzt werden können, sollten sofort deaktiviert werden.

Weiterhin ist es daneben dringend angeraten, die im Unternehmen stattfindenden internationalen Datentransfers und die jeweils eingesetzten Transfermechanismen zu identifizieren, um einen entsprechenden Handlungsbedarf hieraus abzuleiten, etwa zur weiteren oder ersatzweisen Anwendung von Standardvertragsklauseln.

 

Wenn Sie diesbezüglich Fragen haben, dann sprechen Sie uns einfach an. Gerne unterstützen wir Sie auch weiterhin bei Ihren datenschutzrechtlichen Fragen. Wir freuen uns auf die Zusammenarbeit mit Ihnen. Kommen Sie gut durch diese schwierige und herausfordernde Zeit und, vor allem, bleiben Sie gesund!

Ihr SCHIEDERMAIR Datenschutz-Team


Sollten Sie bezüglich dieses Newsletters Fragen haben, wenden Sie sich gerne an folgende Ansprechpartner:

Dr. Jörg Buschbaum, LL.M. (NZ)
Dr. Katrin Stadler
Stephanie G. Hartung
Mona Baron
Myriam Tenderra

Wir möchten darauf hinweisen, dass die allgemeinen Informationen in diesem Newsletter eine Rechtsberatung im Einzelfall nicht ersetzen.