blogteaser image
  • DSGVO
  • Gerichtsurteile und Strafen

07.2020 Bye bye Privacy Shield – „long“ live the Standard Contractual Clauses?

Mit Urteil vom 16.07.2020 hat der Europäische Gerichtshof das EU-US-Datenschutzschild (Privacy Shield) für ungültig erklärt. Damit können Unternehmen keine personenbezogenen Daten auf dieser Grundlage austauschen, da die Vereinbarung keinen ausreichenden Schutz der Daten in den USA gewährleisten könne.

Die Pressemitteilung zu dem Urteil können Sie hier einsehen: „Pressemitteilung Nr. 91/20

Was gilt es nun zu tun?

Zunächst sollten sich alle Unternehmen mit Auftragsverarbeitungen in den USA einen Überblick verschaffen, ob der Partner auf Grundlage des Privacy Shield agiert und den Ersatz der Vereinbarung durch die noch zulässigen EU-Standardvertragsklauseln prüfen.

Jedoch wird auch dieses Vertragsmodell eine Überarbeitung erfahren. Dies hat der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) in einer ersten Stellungnahme zu dem Urteil bereits angekündigt.

Die risikolose Nutzbarkeit der Standardvertragsklauseln für die USA im Speziellen scheint nicht mehr gegeben, wenn der Kommunikationspartner unter die Regelungen „Section 702 FISA and EO 12333“ fällt, was für alle „Electronic communication service provider“ gilt und das sind alle Anbieter von Cloud-Dienstleistungen („remote computing service“ means the provision to the public of computer storage or processing services by means of an electronic communications system;“). Dies findet sich in den Erläuterungen des EDPB zum o.g. Urteil des EUGH wonach der Datenexporteur im Einzelfall prüfen muss, dass US-Recht das angemessene Schutzniveau, das die Standardvertragsklauseln garantieren sollen, nicht beeinträchtigt und dies dürfte nicht möglich sein.

Für den Fall, dass eine Organisation den Datentransfer auch bei einem negativen Prüfergebnis aufrecht halten will, so müsse sie dies der für sie zuständigen Aufsichtsbehörde mitteilen.

Vor diesem Hintergrund fällt es schwer der Stellungnahme von Microsoft ohne Bedenken zu folgen wonach gelte:

Gewerbliche Kunden können unsere Dienste weiterhin in Übereinstimmung mit dem europäischen Recht nutzen. Das Urteil des EuGH nimmt ihnen nicht die Möglichkeit, heute Daten zwischen der EU und den USA über die Microsoft Cloud zu übertragen.

Im Sinne aller Betroffenen bleibt zu hoffen, dass es kurzfristig zu praktikablen Lösungen für das Dilemma kommt.

Photo by Tingey Injury Law Firm on Unsplash

HOLEN SIE SICH DIE TIPPS VOM EXPERTEN UND UND BLEIBEN SIE IMMER AUF DEM NEUSTEN STAND!