Noch kein Nachfolger
Fakt ist: Einen Nachfolger des Privacy Shields gibt es immer noch nicht, auch wenn aus EU-Kommissionskreisen zu vernehmen ist, dass hieran schon fleißig gearbeitet wird. Somit braucht es nach wie vor andere Rechtsgründe, auf die sich eine Datenübermittlung stützen kann.
Einwilligung und Standardvertragsklauseln nach wir vor möglich
Weiterhin die stärkste Rechtsbasis ist die Einwilligung – wenn auch die unpraktikabelste im Einzelfall. Ebenso als grundsätzlich zulässig werden nach wie vor die Standardvertragsklauseln, auch als SCC abgekürzt, angesehen. Allerdings hat hier der EuGH gleichzeitig festgehalten, dass es geeignete Maßnahmen geben muss, um eine Übermittlung personenbezogener Daten zu stoppen, wenn die SCC nicht eingehalten werden können. Welche Maßnahmen hier als geeignet angesehen werden, hat der Europäische Datenschutzrat (EDSA) nun aber schon verkündet. Dies sind:
- Verschlüsselung
- Pseudonymisierung
- Zusätzliche vertragliche Maßnahmen
Lösung in Sicht – Standardvertragsklauseln neu
Auch die Überarbeitung der SCC an sich ist abgeschlossen und bieten nun mit den zusätzlichen Maßnahmen gemeinsam eine sehr adäquate Rechtsbasis, die genutzt werden kann, bis der Nachfolger des Privacy Shields ausverhandelt und in Kraft getreten ist.
Empfehlung
Abschließend nochmals der Verweis auf eine Handlungsempfehlung des EDSA wie man auch ein Jahr danach handeln sollte:
- Prüfe und kenne deine Datenübermittlungen
- Verifiziere die Rechtsgrundlage/vertraglichen Maßnahmen des Übermittlungs-Tools (Standardvertragsklausel, Code of Conduct
- Evaluiere und verwende zusätzliche Maßnahmen:
- Evaluiere diesen Prozess laufend und setze Timings dazu
- Gerade jetzt, ein Jahr danach, empfiehlt es sich genau diese Schritte nochmals zu prüfen ob sich was geändert hat oder neue Datenübermittlungen hinzugekommen sind.