Neue Arbeitshilfe zum EuGH-Urteil über EU-US Privacy Shield (Schrems II)

Wir stellen Ihnen als Leitfaden für die Prüfung der Datenexporte in Drittländer einen neuen Datenschutzprozess zur Verfügung, der die Vorgehensweise für eine Prüfung nach den Vorgaben des Urteils des EuGH zeigt.

Wie Sie sicher bereits wissen, hat der Europäische Gerichtshof mit Urteil vom 16. Juli 2020 den Privacy-Shield-Beschluss 2016/1250 der EU-Kommission vom 12. Juli 2016 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt. Die EU-Standardvertragsklauseln hingegen bleiben nach dieser Entscheidung weiter gültig. Damit können auf der Basis des EU-US Privacy Shield keine personenbezogenen Daten mehr an Empfänger in den Vereinigten Staaten übermittelt werden. Dies bedeutet, dass für Datenexporte an Stellen in den USA, die bisher auf der Grundlage des EU-US Privacy Shield vorgenommen wurden, eine andere Rechtsgrundlage, z. B. in Form eines Vertrags nach den EU-Standardvertragsklauseln, geschaffen werden muss.

Das Urteil betrifft jede Beauftragung von US-Dienstleistern sowie von Dienstleistern, die sich zur Erbringung ihrer Dienste US-Unterauftragnehmern bedienen, wobei eine Speicherung in den USA stattfindet. Ebenso betrifft das Urteil Webseiten, wenn personenbezogene Daten des Besuchers an Stellen in den USA übermittelt werden, z. B.

• Google Analytics
• Social Media bei Facebook,
• Twitter und Instagram
• Videokonferenzsysteme US-amerikanischer Anbieter (z. B. Zoom, MS Teams)
• Hosting von Services in US-amerikanischer Infrastruktur (z. B. AWS, MS Azure, Cloudflare)

Die Aufsichtsbehörden empfehlen, anhand des Verzeichnisses von Verarbeitungstätigkeiten die Verarbeitungen zu identifizieren, bei denen Daten auf Basis von Privacy-Shield oder EU-Standardvertrag in einen Drittstaat (Staat außerhalb des europäischen Wirtschaftsraums EWR sowie Norwegen, Liechtenstein und Island) übermittelt werden, und die Datenschutzvereinbarungen mit Dienstleistern zu überprüfen. Geprüft werden müssen auch die Subdienstleister von Dienstleistern. Wenn Subunternehmen beauftragt sind, die auf der Basis von Privacy-Shield oder EU-Standardvertrag Daten in die USA transferieren, sind diese ggf. ebenfalls zu berücksichtigen.

Da nach wie vor nicht geklärt und nicht absehbar ist, mit welchem Status Großbritannien zum 1. Januar 2021 aus der Europäischen Union ausscheiden wird, sollten sicherheitshalber auch Übermittlungen in das Vereinigte Königreich identifiziert werden.

Wenn sich bei dieser Überprüfung zeigt, dass der Datenimporteur bzw. der Unterauftragnehmer so wie z. B. in den USA weitgehenden und strengen staatlichen Überwachungsgesetzen unterliegt, die in einem unverhältnismäßigen Umfang in die Rechte von EU-Bürgern eingreifen, sodass die Rechte der Betroffenen nicht in einem ausreichenden Maß gewahrt werden können, kann der Datentransfer auch nicht mehr auf die Standardvertragsklauseln gestützt werden. In diesen Fällen müssen zusätzliche Vereinbarungen zum Schutz der Rechte der Betroffenen geschaffen werden.

Wir stellen Ihnen heute als Leitfaden für die Prüfung der Datenexporte in Drittländer einen neuen Datenschutzprozess Prüfung der Datenübermittlung an Stellen in Drittländern zur Verfügung, der die Vorgehensweise für eine Prüfung nach den Vorgaben des Urteils des EuGH zeigt.

Den neuen Prozess finden Sie unter Arbeitshilfen zum Download / Datenschutzprozesse.

Freundliche Grüße
Redaktion Praxisratgeber Datenschutz und Datensicherheit