Seite wählen

Update: Das EU-US Privacy Shield ist unzulässig – Datenübermittlung in die USA

Am 24.07.2020 informierten wir bereits darüber, dass das EU-US Privacy Shield durch den EuGH in seinem Urteil zur Übermittlung personenbezogener Daten in Drittländer („Schrems II“) als unzulässig erklärt wurde.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentliche daraufhin eine Pressmitteilung, in der die DSK die ersten Einschätzungen zu den Auswirkungen des Urteils beschrieb:

[…] Für die Übermittlung personenbezogener Daten in die USA und andere Drittländer hat das Urteil nach einer ersten Einschätzung der DSK folgende Auswirkungen:

  1. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Das US-Recht, auf das der EuGH Bezug genommen hat, betrifft z. B. die nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order 12 333.
  2. Für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer können die bestehenden Standardvertragsklauseln der Europäischen Kommission zwar grundsätzlich weiter genutzt werden. […] Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.
  3. Die Wertungen des Urteils finden auch auf andere Garantien nach Artikel 46 DSGVO Anwendung wie verbindliche interne Datenschutzvorschriften („binding corporate rules“ – BCR), auf deren Grundlage eine Übermittlung personenbezogener Daten in die USA und andere Drittstaaten erfolgt. Daher müssen auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen. Auch diese Maßnahmen müssen für die übermittelten Daten ein im Wesentlichen gleichwertiges Datenschutzniveau wie in der EU garantieren können.
  4. Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach Artikel 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Artikels 49 DSGVO im Einzelfall erfüllt sind.
  5. Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

Quelle: Datenschutzkonferenz Online

 

Von dem Urteil sind alle Dienstleister und Dienste betroffen, bei denen eine Speicherung der Daten in den USA stattfindet. Dies umfasst neben Software-Produkten wie Zoom oder MS Teams auch Hosting Dienstleistungen wie AWS oder MS Azure. Auch Social Media Dienste, wie bspw. Facebook, Twitter oder Instagram sowie Webseiten Tools wie Google Analytics sind betroffen. Auch wenn das Urteil nur das EU-US Privacy Shield betrifft, ist auch bei den Standardvertragsklauseln zu überprüfen, ob der Datenimporteur die Auflagen des Vertrages einhält. Hierzu haben die Aufsichtsbehörde verschiedene Ansichten. Zum einen wird die Meinung vertreten, dass die Aufsichtsbehörden für die Prüfung verantwortlich sind und zum anderen, dass dies Aufgabe der verantwortlichen Stelle ist. Auch wird die Meinung vertreten, dass eine Prüfpflicht sowohl bei der Aufsichtsbehörde als auch bei der verantwortlichen Stelle liegt. Teilweise wird auch die Meinung vertreten, dass Übermittlung in Drittländer umgehend einzustellen sind und nur noch Anbieter innerhalb der EU zu beauftragten sind. Allerdings ist auch dies, bspw. durch den US CLOUD-Act schwierig, denn dieser erlaubt den US-Geheimdiensten auch auf von US-Unternehmen in Europa gespeicherte Daten zuzugreifen.

 

Weitere Informationen zu den Prüfpflichten erhalten Sie hier:

Konsequenzen des LfDI Rheinland-Pfalz aus dem EuGH-Urteil C-311/18 („Schrems II“)

EuGH suspendiert Privacy Shield und bestätigt Standard­vertrags­klauseln

PDF-Download: Pressemitteilung „Max Schrems lässt auch Privacy-Shield-Abkommen beim EuGH durchfallen“

PDF-Download: Pressemitteilung „Nach „Schrems II“: Europa braucht digitale Eigenständigkeit“

 

Was müssen Sie nun unternehmen?

Schritt 1: Identifizieren Sie anhand der Dokumentation der Verarbeitungstätigkeiten und der Übersicht der Auftragsverarbeiter die Dienstleister, bei denen Daten in Drittstaaten übermittelt werden und überprüfen Sie die Datenschutzvereinbarung. Dies gilt vor allem für Übermittlungen in die USA sowie UK. Bei Übermittlungen in die folgenden Länder sind keine Maßnahmen notwendig: Andorra, Argentinien, Färöer, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay.

Schritt 2: Abhängig von der Branche unterliegen Unternehmen (Datenimporteure) in den USA unterschiedlichen Überwachungsgesetzen. Der Datenimporteur muss daher überprüft werden, ob er überhaupt in der Lage ist, die Verpflichtungen aus den EU-Standardverträgen einzuhalten. Hierzu wurde durch Max Schrems und die Organisation NOYB eine FAQ-Liste sowie zwei Fragebögen für die Ermittlung der Überwachungsgesetze veröffentlicht. So können die Datenimporteure gezielt gefragt werden, ob sie FISA 702 und EO 12333 unterliegen. Die Befragung kann bei einer Überprüfung durch die Aufsichtsbehörden dazu führen, dass ein entsprechendes Urteil bei unerlaubten Übermittlungen in Drittstaaten milder ausfällt, da sich die verantwortliche Stelle der gesetzlichen Situation bewusst ist und um Abhilfe bemüht ist.

 

Dabei sind die Dokumente wie folgt anzuwenden:

  • EU-US_form_v3.pdf ist bei Datenimporteuren zu verwenden, die bereits die EU-Standardvertragsklauseln unterschrieben haben.
  • EU-EU_form_v3.pdf ist bei Unternehmen zu verwenden, die Daten zwar im EU/EWR verarbeiten, allerdings eine US-Beziehung haben, bspw. Microsoft oder Amazon.

Sollte die Überprüfung ergeben, dass der Datenimporteur oder der eingesetzte Unterauftragnehmer strengen Überwachungsgesetzen unterliegt und hierdurch die Rechte von EU-Bürgern nicht gewahrt werden können, ist es nicht möglich den Datentransfer auf die EU-Standardvertragsklauseln zu stützen. Dann blieben nur noch die Einwilligung der Betroffenen oder einer der Ausnahmetatbestande des Artikel 49 DSGVO, was jedoch immer eine Einzelfallbetrachtung nach sich zieht.

Blog Archiv

Sie haben Fragen?

Sprechen Sie uns gerne an!

Bösen & Heinke GmbH & Co. KG
Karl-Benz-Straße 9
40764 Langenfeld
Tel.:  +49 (0) 2173 10907-0
Fax:  +49 (0) 2173 10907-77

Niederlassung Hamburg
Überseeallee 1
20457 Hamburg
Tel. +49 (0) 40 226391133

E-Mail: info(at)buh.com

Kundenbewertung

Nihat KemalogluNihat Kemaloglu
18:01 08 Aug 23
Ralf UllrichRalf Ullrich
17:56 08 Aug 23
Ich kenne Bösen & Heinke als Top IT-Dienstleister der immer erst geht, wenn das Problem gelöst ist. Lösungen werden so verständlich erklärt, dass man es auch dann versteht, wenn man kein IT-Experte ist. Wann immer es möglich war wurde sehr kurzfristig geholfen.Ralf Heinke hat von 2000 bis 2008 unsere Warenwirtschaft (Sage Classic Line) und unser kleines Netzwerk betreut.Dann habe ich den Arbeitgeber gewechselt und unsere Wege haben sich getrennt. aber wer weiß, vielleicht kreuzen sich unsere Wege noch einmal, denn aktuell denkt mein jetziges Unternehmen über einen Wechsel des ERP-Systems nach. Würde mich freuen. Wie heißt es so schön: „Man sieht sich immer zweimal im Leben.“
Marco SchauerMarco Schauer
09:41 14 Mar 23
Der Sage Partner Bösen & Heinke ist für uns nicht nur ein toller Vertriebspartner für unsere Shopware Schnittstelle, sondern stellt zudem auch für unsere Schnittstellenkunden sehr nützliche Tools, wie einen Rechnungsexport zur Verfügung.Die Zusammenarbeit mit dem Team von Bösen & Heinke sorgt immer wieder für perfekt durchgeführte Projekte und zufriedene Kunden.
Stefan SchulzStefan Schulz
14:37 07 Jul 22
Sascha BreitheckerSascha Breithecker
20:36 03 Feb 22
Super Support!Uneingeschränkt empfehlenswert!
Christian ZanderChristian Zander
08:20 03 Feb 22
Wir arbeiten seit vielen Jahren in verschiedenen Projekten mit BuH zusammen. Die Zusammenarbeit lief immer hervorragend. Kann ich nur weiterempfehlen!!!
Nina MühligNina Mühlig
13:39 06 Aug 20
Darja UriDarja Uri
06:17 23 Aug 19
Mehr Bewertungen
js_loader