Mal ehrlich: Wie viele der zahllosen Artikel zum EuGH-Urteil, mit dem das EU-US Privacy Shield-Abkommen für ungültig erklärt wurde, haben Sie gelesen? Wissen Sie jetzt, was Sie konkret tun müssen, um Transfers personenbezogener Daten in die USA DSGVO-konform abzubilden? Nein? Hier erfahren Sie es.
Was ist das Problem?
Das EU-US Privacy Shield ist mit dem Urteil nicht mehr existent. Wer also bisher personenbezogene Daten auf der Grundlage dieses Abkommens in die USA übermittelt hat, kann sich nicht länger darauf berufen. Das Datenschutzniveau ist ab sofort formal nicht mehr mit dem in der EU vergleichbar. Der Datentransfer muss künftig also auf der Grundlage anderer Regeln erfolgen.
Schritt 1: Den Überblick behalten
Zunächst einmal sollten Sie sich einen Überblick verschaffen, ob und in welchem Umfang Sie personenbezogene Daten in die USA übermitteln. Die „single source of truth“ stellt dabei Ihr Verzeichnis von Verarbeitungstätigkeiten dar. Diesem entnehmen Sie, bei welchen Verarbeitungstätigkeiten Sie Daten in die USA übermitteln. Jetzt haben Sie einen guten Überblick, was an Arbeit auf Sie zukommt.
Schritt 2: Verträge prüfen und anpassen
In aller Regel sollten Sie mit dem Unternehmen, an das Sie personenbezogene Daten übermitteln eine Auftragsverarbeitungsvereinbarung geschlossen haben. Prüfen Sie diese Verträge, ob sie sich auf das Privacy Shield berufen. Falls ja, sollten mit diesen Partnern neue Vereinbarungen geschlossen werden. Als neue Grundlage bieten sich die sogenannten EU Standardvertragsklauseln an. Viele große Unternehmen werden in der nächsten Zeit mit Vorschlägen auf Sie zukommen. Bei kleineren Unternehmen sollten Sie selbst aktiv werden und mit einem Vorschlag aufwarten, denn letztlich sind Sie in der Verantwortung. Gleiches gilt freilich, wenn ein großes Unternehmen nicht mit einem Vertragsentwurf auf Sie zukommt.
Schritt 3: Datenschutzhinweise prüfen und anpassen
Sind die Verarbeitungstätigkeiten auf eine neue vertragliche Basis gestellt, sollten nun auch die Datenschutzhinweise angepasst werden, mit denen betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten informiert werden.
Schritt 4: Und was, wenn nicht?
Schaffen Sie es nicht, mit Ihrem Auftragsverarbeiter Rahmenbedingungen zu definieren, die den Schutz personenbezogener Daten in den USA auf ein mit der DSGVO vergleichbares Niveau heben, dann bleibt leider nur eines: Die Übermittlung in die USA muss unterbleiben. Dies stellt unter praktischen Gesichtspunkten selbstverständlich den SUPER-GAU dar. Unter datenschutzrechtlichen Gesichtspunkten ist aber die Übermittlung der Daten nicht legitimiert. Sie nun fortzusetzen, könnte grundsätzlich ein Bußgeld nach sich ziehen, auch wenn im Moment noch nicht absehbar ist, wie rigoros die Aufsichtsbehörden hier agieren werden.
Wenn Sie Fragen haben, helfen Ihnen die Datenschutzexperten von handz.on gerne!
Link zum Urteil des EuGH: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:62018CJ0311&from=DE