Datentransfer in Drittländer nach dem Aus des EU-U.S. Privacy Shield

Nachdem der Europäische Gerichtshof (EuGH) das EU-U.S. Privacy Shield für ungültig erklärt hat, müssen Verantwortliche auf andere Datenschutzgarantien zurückgreifen, wenn Sie personenbezogene Daten in die USA übermitteln wollen. Auf für Datentransfers in andere Drittländer (also außerhalb der EU bzw. des EWR) gelten nach dem Urteil neue Anforderungen, wenn Standardvertragsklauseln als Datenschutzgarantie verwendet werden sollen.

Informationen des Europäischen Datenschutzausschusses (EDSA)

Der Europäische Datenschutzausschuss (EDSA) veröffentlichte mittlerweile seine Sichtweise zu den Konsequenzen aus dem Urteil des EuGHs. Wir haben die wichtigsten Aussagen des EDSA für Sie zusammengefasst:

  • Der EDSA unterstützt die Europäische Kommission dabei, ein neues rechtskonformes Datenschutzabkommen mit den USA abzuschließen. Es bleibt abzuwarten, ob dies besser gelingt als beim EU-U.S. Privacy Shield, welches bereits als Ersatz für das ebenfalls durch den EUGH gekippte Safe-Harbor-Abkommen diente.
  • Der EDSA weist sehr deutlich auf die Pflichten der datenschutzrechtlich Verantwortlichen und Aufsichtsbehörden hin, Drittlandtransfers auf Grundlage von Standardvertragsklauseln (standard contractual clauses, SCC) im Einzelfall zu prüfen und gegebenenfalls einzustellen bzw. zu untersagen, sollte das angemessene Datenschutzniveau im Zielland nicht gewährleistet sein.
  • Eine generelle Untersagung von Datentransfers auf Grundlage von SCC in die USA erteilt der Ausschuss zwar nicht, macht aber deutlich, dass solche Transfers nur erfolgen können, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten.
  • Der EDSA gibt zum jetzigen Zeitpunkt noch keine Hinweise darauf, wie solche zusätzlichen Maßnahmen aussehen könnten, kündigte aber weitere Hinweise und Leitfäden für solche Maßnahmen an.
  • Unternehmen, die nicht wissen, ob bei der Datenverarbeitung auch Daten in ein Drittland gesendet werden, sind in der Pflicht jetzt die Verträge mit den Dienstleistern zu prüfen. Hierunter gehört auch die Überprüfung von möglichen Unterauftragsverarbeitern.
  • Bezüglich des EU-U.S. Privacy Shields stellt der ESDA fest, dass es keine Übergangsfrist für Datenverarbeitungen auf Grundlage des vom EuGH für ungültig erklärten Datenschutzabkommens geben wird. Die Umstellung muss ohne Verzögerung stattfinden.

EU-Standardvertragsklauseln

Erstellen Sie Ihre Standardvertragsklauseln zum rechtmäßigen Datentransfer in ein Drittland intuitiv und Schritt für Schritt!

Stellungnahmen deutscher Aufsichtsbehörden

Die deutschen Datenschutzbehörden haben bisher noch keine gemeinsame Stellungnahme verfasst. Einige Aufsichtsbehörden, haben jedoch zu dem Urteil Stellung genommen. Die Äußerungen reichen von gehemmten und vorsichtigen Einschätzungen bis zur Voraussage eines Paradigmenwechsels für internationale Datenübermittlungen und eines generellen Verbots von Datentransfers in die USA.

Wenn Sie in einem der folgenden Bundesländer ansässig sind, sollten Sie diese Stellungnahmen gründlich lesen (Stand 29.07.2020):

Die gemeinsame Stellungnahme der deutschen Datenschutzaufsichtsbehörden zu Datenübermittlungen in Drittstaaten finden Sie hier.

Die Stellungnahme des Bundesbeauftragten für Datenschutz und die Informationsfreiheit (BfDI) finden Sie hier.

 

Fazit: Es wartet Arbeit auf Ihren Datenschutzbeauftragten

Wenn Sie personenbezogene Daten außerhalb der EU bzw. des EWR – also in einem Drittland – verarbeiten (lassen), sollten Sie jetzt Folgendes umsetzen:

  • Überprüfen Sie Ihre internationalen Datentransfers: Haben Sie diese bereits im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO dokumentiert, können Sie diese Dokumentation nutzen, um die Datentransfers außerhalb der EU/des EWR und die Empfänger dieser Daten zu identifizieren.
  • Für personenbezogene Daten, die Ihr Unternehmen bislang allein auf Grundlage des EU-U.S. Privacy Shield in die USA übermittelt hat, müssen jetzt alternative Datenschutzgarantien gefunden werden, um diese Übermittlung zu legitimieren. SCC können ggf. als Alternative genutzt werden, Sie müssen aber vorher eine einzelfallbezogene Angemessenheitsprüfung vollziehen.
  • Unternehmen, die SCCs verwenden (oder in Erwägung ziehen), müssen die vom EuGH verlangte Prüfung des Datenschutzniveaus im Drittland durchführen. Hierfür ist in einem ersten Schritt die Rechtslage im Zielland u.a. mit Blick auf behördliche Zugriffsbefugnisse auf die übermittelten Daten zu analysieren. Eine gut dokumentierte Risikoanalyse in Bezug auf die übermittelten Daten kann hier hilfreich sein. Es empfiehlt sich, risikorelevante Faktoren wie die Sensibilität der der betroffenen Daten, Umfang der übermittelten Daten (Datenminimierung), eingesetzte technische Mittel wie Verschlüsselung (z.B. Ende-zu-Ende), etc. auszuwerten und zu dokumentieren.
  • Überprüfen und aktualisieren Sie Ihre Datenschutzerklärungen auf der Website und Ihre Informationsschreiben nach Art. 13 und 14 DSGVO, soweit diese von dem EuGH-Urteil betroffen sind.
  • Bleiben Sie in Sachen Datentransfer auf dem Laufenden – zum Beispiel mit unserem kostenlosen Newsletter. Es ist zu erwarten, dass der EDSA und die deutschen Aufsichtsbehörden weitere Hinweise und Leitlinien zu internationalen Datentransfers außerhalb der EU/des EWR veröffentlichen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

2 Kommentare

  1. Filder Profilbild
    Filder

    Hallo activeMind Team,

    Vielen Dank für die Ausführungen zu diesem Thema. Ich habe noch 2 zusätzliche Fragen die das Urteil des EuGh für mich aufwirft.

    1. Was bedeutet dies für CDN Netzwerke? Hierbei wirrd zumindest die IP-Adresse des Nutzers an Sever übermittelt die weltweit verteilt sein können. Der Zweck ist eine Verkürzung der Ladezeiten von Bildern/Videos auf der Webseite um eine schnellere Darstellung zu erreichen.
    –> Können solche Dienste überhaupt noch genutzt werden da z.B. für Server des CDN in den USA, China, Rußland,… vermutlich kein DS-Schutzniveau gemäß DSGVO bzw. in Interpretation des hier besprochenen Urteils des EuGh garantiert werden kann.

    2. Bedeutet dies ebenfalls das derzeit sämtliche Videokonferenz- und Chatsysteme mit Server in den USA nicht genutzt werden können? Bei derzeitiger Gesetzeslage in den USA können Behörden Einsicht verlangen und selbst SCCs wären in diesem Umfeld wirkungslos.

    Basierend auf diesen Fragen ist meine Vermutung das es derzeit äußerst schwer ist Dienste einzusetzen deren Server nicht im EWR stehen.

    Ich freue mich auf Ihre Sicht zu diesen Fragen.

    MfG,
    FK

    1. Elke Fenk Profilbild
      Elke Fenk

      Hallo,

      vielen Dank für Ihre Anfrage.

      Das EuGH-Urteil umfasst grundsätzlich auch CDN-Netzwerke, insbesondere wenn diese zentral aus den USA gesteuert werden. Dabei kann sich nicht mehr auf die Zertifizierung durch das Privacy Shield berufen werden. Es besteht aber die Möglichkeit, skriptseitig die Übertragung der kompletten IP-Adresse zu unterbinden. In diesem Fall werden nicht zwingenderweise personenbezogene Daten mehr übertragen und die CDN-Netzwerke sind weiterhin nutzbar. Dann findet kein Datentransfer in ein Drittland statt und die CDN-Netzwerke sind weiterhin nutzbar.

      Was die Videokonferenz- und Chatsysteme mit Servern in den USA betrifft, ist Ihre Einschätzung richtig: eine Nutzung der Dienste, die sich (ausschließlich) auf eine Privacy-Shield-Zertifizierung berufen, ist momentan nicht DS-GVO-konform. Auch hier wäre – theoretisch – auf SCCs umzustellen. Das EDSA lässt den Abschluss von SCCs zu, wenn weitere Maßnahmen zur Sicherung des DS-GVO-Standards getroffen werden. Dabei ist im Einzelfall zu prüfen, welche Maßnahmen in Betracht kommen und mit dem im Drittland geltenden Recht vereinbar sind. Da aber die Gesetzeslage speziell in den USA derzeit nicht den Anforderungen der DS-GVO entspricht, sind solche weitergehenden Maßnahmen kaum wirksam abzuschließen. Derzeit ist wohl eine Suspendierung der Dienste oder ein Rückgriff auf EU-Anbieter ohne Datentransfer in Drittländer anzudenken.

      Da die konkreten Folgen des Urteils noch nicht absehbar sind, ist es ratsam, das Thema weiter zu verfolgen und sich, sobald vorhanden, an die angekündigten weiteren Hinweise und Leitlinien der EDSA und der deutschen Aufsichtsbehörden zu orientieren. Wir halten Sie auf dem Laufenden.

      Beste Grüße
      Elke Fenk

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.