Datenschutz & IT

Die ersten 100 Tage ohne Privacy Shield – eine Bilanz

Vor ziemlich genau 100 Tagen wurde unter großem medialen Blitzlichtgewitter verkündet, dass der Europäische Gerichtshof das Datenübermittlungsabkommen mit den USA – das sogenannte Privacy Shield – gekippt hat. Über Nacht sind somit sämtliche Übermittlungen von personenbezogenen Daten, die sich auf dieses Abkommen gestützt hatten (und das waren fast alle inklusive Google Analytics und Facebook!), gesetzeswidrig geworden. So weit so gut und bekannt. Aber wie sieht es nun aus? Was ist in den letzten drei Monaten geschehen?

Noch kein Nachfolger 

Fakt ist: Einen Nachfolger des Privacy Shields gibt es noch nicht, auch wenn aus EU-Kommissionskreisen zu vernehmen ist, dass hieran schon fleißig gearbeitet wird. Experten rechnen jedoch nicht vor dem Frühjahr 2021 mit einem neuem Abkommen. Somit braucht es nach wie vor andere Rechtsgründe, auf die sich eine Datenübermittlung stützen kann.  

Einwilligung und Standardvertragsklauseln nach wir vor möglich 

Weiterhin die stärkste Rechtsbasis ist die Einwilligung – wenn auch die unpraktikabelste im Einzelfall. Ebenso als grundsätzlich zulässig werden nach wie vor die Standardvertragsklauseln, auch als SCC abgekürzt, angesehen. Allerdings hat hier der EuGH gleichzeitig festgehalten, dass es geeignete Maßnahmen geben muss, um eine Übermittlung personenbezogener Daten zu stoppen, wenn die SCC nicht eingehalten werden können. Welche Maßnahmen hier als geeignet angesehen werden, darüber scheiden sich nun die Geister. Somit muss auf Europäischer Ebene eine Lösung gefunden werden, um einen rechtlichen Flickenteppich zu verhindern. 

Lösung in Sicht 

Und genau an so einer Lösung wird durch die Überarbeitung der SCC an sich gerade gearbeitet. Es gibt Aussagen, dass neue, überarbeitete Klauseln noch gegen Jahresende erwartet werden und damit eine sehr adäquate Rechtsbasis geschaffen wird, die genutzt werden kann, bis der Nachfolger des Privacy Shields ausverhandelt und in Kraft getreten ist. 

Überbrückungsmöglichkeit 

Aber auch bis Jahresende sind es noch einige Wochen, in denen viele Unternehmen weiterhin nicht gesetzeskonform die Daten ihrer Kunden nach Amerika übermitteln. Mangels einer Lösung wird weiterhin empfohlen, sich eine Checkliste zu erstellen, in der die betroffenen Datenübermittlungen aufgelistet sind, zu prüfen, ob man die Übermittlung stoppen kann, und wenn das nicht möglich ist, dies zu begründen. Außerdem sollte ein Zeitplan erstellt werden, wann eine Änderung der Prozesse erfolgen kann. Sollte dies nicht möglich sein (z.B. mangels einer Alternative) ist auch das zu begründen. Aber eines ist klar: Gar nichts zu machen und das Thema „auszusitzen“, ist die schlechteste Variante und birgt ein hohes Risiko an Strafen und Klagen. 

Tipp: Wie Sie in der Praxis am besten mit dem Wegfall des Privacy Shields umgehen, erfahren Sie in unserem Online-Seminar „Adieu Privacy Shield“ oder von den Top-Experten in Sachen Datenschutz live am „Digital Data Compliance Day“ am 4.11.2020! 

 

War der Artikel hilfreich?
finde ich gut 1
Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.