29. Oktober 2021

„Schrems-II-Urteil“ – was ist jetzt zu tun?

Mal ehrlich: Wie viele der zahllosen Artikel zum EuGH-Urteil, mit dem das EU-US Privacy Shield-Abkommen für ungültig erklärt wurde, haben Sie gelesen? Wissen Sie jetzt, was Sie konkret tun müssen, um Transfers personenbezogener Daten in die USA DSGVO-konform abzubilden? Nein? Hier erfahren Sie es.

Was ist das Problem?

Das EU-US Privacy Shield ist mit dem Urteil nicht mehr existent. Wer also bisher personenbezogene Daten auf der Grundlage dieses Abkommens in die USA übermittelt hat, kann sich nicht länger darauf berufen. Das Datenschutzniveau ist ab sofort formal nicht mehr mit dem in der EU vergleichbar. Der Datentransfer muss künftig also auf der Grundlage anderer Regeln erfolgen.

Schritt 1: Den Überblick behalten

Zunächst einmal sollten Sie sich einen Überblick verschaffen, ob und in welchem Umfang Sie personenbezogene Daten in die USA übermitteln. Die „single source of truth“ stellt dabei Ihr Verzeichnis von Verarbeitungstätigkeiten dar. Diesem entnehmen Sie, bei welchen Verarbeitungstätigkeiten Sie Daten in die USA übermitteln. Jetzt haben Sie einen guten Überblick, was an Arbeit auf Sie zukommt.

Schritt 2: Verträge prüfen und anpassen

In aller Regel sollten Sie mit dem Unternehmen, an das Sie personenbezogene Daten übermitteln eine Auftragsverarbeitungsvereinbarung geschlossen haben. Prüfen Sie diese Verträge, ob sie sich auf das Privacy Shield berufen. Falls ja, sollten mit diesen Partnern neue Vereinbarungen geschlossen werden. Als neue Grundlage bieten sich die sogenannten EU Standardvertragsklauseln an. Viele große Unternehmen werden in der nächsten Zeit mit Vorschlägen auf Sie zukommen. Bei kleineren Unternehmen sollten Sie selbst aktiv werden und mit einem Vorschlag aufwarten, denn letztlich sind Sie in der Verantwortung. Gleiches gilt freilich, wenn ein großes Unternehmen nicht mit einem Vertragsentwurf auf Sie zukommt.

Schritt 3: Datenschutzhinweise prüfen und anpassen

Sind die Verarbeitungstätigkeiten auf eine neue vertragliche Basis gestellt, sollten nun auch die Datenschutzhinweise angepasst werden, mit denen betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten informiert werden.

Schritt 4: Und was, wenn nicht?

Schaffen Sie es nicht, mit Ihrem Auftragsverarbeiter Rahmenbedingungen zu definieren, die den Schutz personenbezogener Daten in den USA auf ein mit der DSGVO vergleichbares Niveau heben, dann bleibt leider nur eines: Die Übermittlung in die USA muss unterbleiben. Dies stellt unter praktischen Gesichtspunkten selbstverständlich den SUPER-GAU dar. Unter datenschutzrechtlichen Gesichtspunkten ist aber die Übermittlung der Daten nicht legitimiert. Sie nun fortzusetzen, könnte grundsätzlich ein Bußgeld nach sich ziehen, auch wenn im Moment noch nicht absehbar ist, wie rigoros die Aufsichtsbehörden hier agieren werden.

Wenn Sie Fragen haben, helfen Ihnen die Datenschutzexperten von handz.on gerne!

Link zum Urteil des EuGH: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:62018CJ0311&from=DE

Weitere Artikel

handz.on schließt ISO-27001-Zertifizierung erfolgreich ab

handz.on schließt ISO-27001-Zertifizierung erfolgreich ab

Kunden des Münchner IT-Dienstleisters profitieren ab sofort von offiziell attestierter, höchster Informationssicherheit ihrer Daten München, 31.01.2023: handz.on ist seit Januar 2023 ISO-27001 zertifiziert und unterstreicht damit seine Spezialisierung im Bereich...

mehr lesen
Die wichtigsten Kriterien bei der Wahl des perfekten ITSM

Die wichtigsten Kriterien bei der Wahl des perfekten ITSM

Um die IT-Prozesse unternehmensintern besser managen und strukturieren zu können, empfiehlt sich langfristig die Anschaffung einer umfassenden ITSM-Software. Diese bietet bei richtiger Implementierung viele Optimierungspotenziale, welche sehr kosten- und zeiteffizient...

mehr lesen
Wettbewerbsvorteil Datenschutz?

Wettbewerbsvorteil Datenschutz?

Oft werden Datenschutz und Digitalisierung als Antagonisten gesehen, die sich nur schwer im eigenen Unternehmen gleichzeitig implementieren lassen. Im digitalen Zeitalter wird dabei oft der Digitalisierung von internen Prozessen und Anwendungen der Vortritt gewährt,...

mehr lesen
Scroll to Top