Suche
Close this search box.
Logo der activeMind AG

Datentransfer in Drittländer nach dem Aus des EU-U.S. Privacy Shield

Inhalt

Nachdem der Europäische Gerichtshof (EuGH) das EU-U.S. Privacy Shield für ungültig erklärt hat, müssen Verantwortliche auf andere Datenschutzgarantien zurückgreifen, wenn Sie personenbezogene Daten in die USA übermitteln wollen. Auf für Datentransfers in andere Drittländer (also außerhalb der EU bzw. des EWR) gelten nach dem Urteil neue Anforderungen, wenn Standardvertragsklauseln als Datenschutzgarantie verwendet werden sollen.

Informationen des Europäischen Datenschutzausschusses (EDSA)

Der Europäische Datenschutzausschuss (EDSA) veröffentlichte mittlerweile seine Sichtweise zu den Konsequenzen aus dem Urteil des EuGHs. Wir haben die wichtigsten Aussagen des EDSA für Sie zusammengefasst:

  • Der EDSA unterstützt die Europäische Kommission dabei, ein neues rechtskonformes Datenschutzabkommen mit den USA abzuschließen. Es bleibt abzuwarten, ob dies besser gelingt als beim EU-U.S. Privacy Shield, welches bereits als Ersatz für das ebenfalls durch den EUGH gekippte Safe-Harbor-Abkommen diente.
  • Der EDSA weist sehr deutlich auf die Pflichten der datenschutzrechtlich Verantwortlichen und Aufsichtsbehörden hin, Drittlandtransfers auf Grundlage von Standardvertragsklauseln (standard contractual clauses, SCC) im Einzelfall zu prüfen und gegebenenfalls einzustellen bzw. zu untersagen, sollte das angemessene Datenschutzniveau im Zielland nicht gewährleistet sein.
  • Eine generelle Untersagung von Datentransfers auf Grundlage von SCC in die USA erteilt der Ausschuss zwar nicht, macht aber deutlich, dass solche Transfers nur erfolgen können, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten.
  • Der EDSA gibt zum jetzigen Zeitpunkt noch keine Hinweise darauf, wie solche zusätzlichen Maßnahmen aussehen könnten, kündigte aber weitere Hinweise und Leitfäden für solche Maßnahmen an.
  • Unternehmen, die nicht wissen, ob bei der Datenverarbeitung auch Daten in ein Drittland gesendet werden, sind in der Pflicht jetzt die Verträge mit den Dienstleistern zu prüfen. Hierunter gehört auch die Überprüfung von möglichen Unterauftragsverarbeitern.
  • Bezüglich des EU-U.S. Privacy Shields stellt der ESDA fest, dass es keine Übergangsfrist für Datenverarbeitungen auf Grundlage des vom EuGH für ungültig erklärten Datenschutzabkommens geben wird. Die Umstellung muss ohne Verzögerung stattfinden.

Stellungnahmen deutscher Aufsichtsbehörden

Die deutschen Datenschutzbehörden haben bisher noch keine gemeinsame Stellungnahme verfasst. Einige Aufsichtsbehörden, haben jedoch zu dem Urteil Stellung genommen. Die Äußerungen reichen von gehemmten und vorsichtigen Einschätzungen bis zur Voraussage eines Paradigmenwechsels für internationale Datenübermittlungen und eines generellen Verbots von Datentransfers in die USA.

Wenn Sie in einem der folgenden Bundesländer ansässig sind, sollten Sie diese Stellungnahmen gründlich lesen (Stand 29.07.2020):

Die gemeinsame Stellungnahme der deutschen Datenschutzaufsichtsbehörden zu Datenübermittlungen in Drittstaaten finden Sie hier.

Die Stellungnahme des Bundesbeauftragten für Datenschutz und die Informationsfreiheit (BfDI) finden Sie hier.

Fazit: Es wartet Arbeit auf Ihren Datenschutzbeauftragten

Wenn Sie personenbezogene Daten außerhalb der EU bzw. des EWR – also in einem Drittland – verarbeiten (lassen), sollten Sie jetzt Folgendes umsetzen:

  • Überprüfen Sie Ihre internationalen Datentransfers: Haben Sie diese bereits im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO dokumentiert, können Sie diese Dokumentation nutzen, um die Datentransfers außerhalb der EU/des EWR und die Empfänger dieser Daten zu identifizieren.
  • Für personenbezogene Daten, die Ihr Unternehmen bislang allein auf Grundlage des EU-U.S. Privacy Shield in die USA übermittelt hat, müssen jetzt alternative Datenschutzgarantien gefunden werden, um diese Übermittlung zu legitimieren. SCC können ggf. als Alternative genutzt werden, Sie müssen aber vorher eine einzelfallbezogene Angemessenheitsprüfung vollziehen.
  • Unternehmen, die SCCs verwenden (oder in Erwägung ziehen), müssen die vom EuGH verlangte Prüfung des Datenschutzniveaus im Drittland durchführen. Hierfür ist in einem ersten Schritt die Rechtslage im Zielland u.a. mit Blick auf behördliche Zugriffsbefugnisse auf die übermittelten Daten zu analysieren. Eine gut dokumentierte Risikoanalyse in Bezug auf die übermittelten Daten kann hier hilfreich sein. Es empfiehlt sich, risikorelevante Faktoren wie die Sensibilität der der betroffenen Daten, Umfang der übermittelten Daten (Datenminimierung), eingesetzte technische Mittel wie Verschlüsselung (z.B. Ende-zu-Ende), etc. auszuwerten und zu dokumentieren.
  • Überprüfen und aktualisieren Sie Ihre Datenschutzerklärungen auf der Website und Ihre Informationsschreiben nach Art. 13 und 14 DSGVO, soweit diese von dem EuGH-Urteil betroffen sind.
  • Bleiben Sie in Sachen Datentransfer auf dem Laufenden – zum Beispiel mit unserem kostenlosen Newsletter. Es ist zu erwarten, dass der EDSA und die deutschen Aufsichtsbehörden weitere Hinweise und Leitlinien zu internationalen Datentransfers außerhalb der EU/des EWR veröffentlichen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis![

Datenschutz optimieren

Buchen Sie unsere Experten als externen Datenschutzbeauftragten und stärken Sie Ihre Compliance mit der DSGVO!
Verfügbarkeit prüfen

Weiterlesen

  • Aufsichtsbehörden, Betroffenenrechte

Das kirchliche Datenschutzrecht in Deutschland

Wann gilt das Datenschutzrecht der Kirchen – und wann gelten DSGVO und BDSG? Welche Folgen hat das jeweils für kirchliche Einrichtungen und deren Auftragsverarbeiter? Ein Überblick.
  • Aufsichtsbehörden, Betroffenenrechte

Das Digitale-Dienste-Gesetz (DDG)

Das neue DDG enthält einige Regelungen mit Bedeutung für Websitebetreiber und Werbende. Wir erklären diese praxisbezogen und kompakt.
  • Aufsichtsbehörden

One-Stop-Shop-Verfahren nach DSGVO

Was besagt der datenschutzrechtliche One-Stop-Shop-Mechanismus und wie können Unternehmen ihre EU-Hauptniederlassung nach DSGVO definieren? Die Antworten des EDSA zusammengefasst.
  • Datentransfer

Angemessenheitsbeschlüsse: Überprüfung von 11 Drittstaaten

Die EU-Kommission attestiert einigen Drittländern ein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten. Elf dieser Länder kamen nun erneut unter die Lupe – mit weitreichenden Folgen.
  • Aufsichtsbehörden, Betrieblicher Datenschutzbeauftragter

Datenschutzbeauftragte im Fokus der Aufsichtsbehörden

Eine Kontrolle der europäischen Aufsichtsbehörden zeigt zahlreiche Defizite bei Benennung, Fachkunde, Position und Aufgaben von Datenschutzbeauftragten auf. Was Verantwortliche jetzt tun sollten, um Bußgelder zu vermeiden.
  • Aufsichtsbehörden, Betroffenenrechte, Datenschutz, Datentransfer, Internationaler Datenschutz, Mitarbeiterdatenschutz, Technischer Datenschutz

Datenschutz- und Informationssicherheits-Herausforderungen 2024

Experten von activeMind wagen ihre ganz persönliche Prognose zu den wirklich wichtigen Entwicklungen beim Datenschutzrecht im Jahr 2024.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.