Der europäische Gerichtshof hat am 16.Juni 2020 das Privacy Shield Abkommen der EU Kommission mit den USA für ungültig erklärt. Damit wird die datenschutzkonforme Rechtsgrundlage für den Datentransfer und die Verarbeitung von personenbezogenen Daten in die USA für unwirksam erklärt.

Darüber hinaus gehören die USA ab sofort zu den Drittländern, in denen die Verarbeitung von personenbezogenen Daten aus der EU für unsicher erklärt wird und ohne zusätzliche Vereinbarungen nicht mehr zulässig ist. Da sich auch die sogenannten Standardvertragsklauseln für Auftragsverarbeitungsverträge auf ein angemessenes Datenschutzniveau in den USA berufen ist sehr wahrscheinlich, dass diese ebenfalls ihre Gültigkeit verlieren werden. Wer sie weiter benutzt, muss als Verantwortlicher zumindest genau prüfen, ob der Schutz der Daten durch geeignete Maßnahmen gewährleistet werden und hierzu zusätzliche Vereinbarungen getroffen werden müssen.

Gültigkeit der Standardvertragsklauseln

Die EU muss zur weiteren Gültigkeit den Standardvertragsklauseln noch Stellung beziehen, diese außer Kraft setzen und evtl. Alternativen anbieten. Ob eine personenbezogene Einwilligung für eine Verarbeitung in den USA ausreicht darf ebenfalls bezweifelt werden, da hier eine entsprechend umfangreiche Aufklärung des Betroffenen erfolgen muss und der europäische Gerichtshof grundsätzlich davon ausgeht, dass die Grundrechte der EU Bürger bzgl. Datenschutz in den USA verletzt werden.

Die Rechtslage bzgl. der Standardvertragsklauseln ist also aktuell unscharf und umfangreich interpretierbar. Dieses Risiko sowie der hohe Aufwand zur Erstellung zusätzlicher Vereinbarungen liegt somit auf der Seite des Verantwortlichen.

Folgen für die Praxis

In der Praxis bedeutet dies, dass eine Verarbeitung durch amerikanische Unternehmen nur auf Systemen, die sich in der EU befinden zulässig sein wird. Dazu gehört auch, dass keine Dienstleister eingesetzt werden sollten, die auf Basis des jetzt ungültigen Privacy Shield Abkommens Dienstleister (Subunternehmen) beauftragt haben.

Was sollte jetzt getan werden:

• Prüfen Sie alle AV-Verträge mit Dienstleistern in den USA, ob diese auf das Privacy Shield Abkommen referenzieren. Diese Grundlagen sind ab sofort ungültig und Sie befinden sich in dem Risiko, die DSGVO zu verletzen.
• Prüfen Sie in allen AV-Verträgen die Angaben der Subunternehmer. Im Falle des Einsatzes eines amerikanischen Dienstleisters ohne europäischen Serverstandort bitten Sie Ihren Vertragspartner um Auskunft bzgl. der weiteren Vorgehensweise zur Umsetzung des aktuellen Urteils.
• Entfernen Sie in Ihrer Datenschutzerklärung die Hinweise auf das Privacy Shield Abkommens als Basis für die Übermittlung von Daten in die USA und Ergänzen Sie im Falle alternativer Lösungen diese Informationen auf Ihrer Webseite.
• Achten Sie beim Abschluss neuer Verträge ab sofort darauf, dass die Datenübermittlung in die USA ausgeschlossen werden sollte.

Bei weitere Fragen zu diesem Thema sprechen Sie uns gerne an. Hier geht es zu unseren Kontaktdaten.