Überspringen zu Hauptinhalt
Rufen Sie uns an: +49 6131 144 56 25
„SCHREMS II“ Und Die Konsequenzen Für Unternehmen – Was Ist Zu Tun?

„SCHREMS II“ und die Konsequenzen für Unternehmen – Was ist zu tun?

1.      Keine Datenübermittlung aufgrund des EU-US-Privacy Shields mehr

Mit Urteil vom 16.07.2020 hatte der Europäische Gerichtshof (EuGH) das EU-US-Privacy-Shield für ungültig erklärt (RS C-311/18, dort ab Rn. 150). Eine Übermittlung personenbezogener Daten in die USA kann nicht mehr auf dessen Basis erfolgen.

→Verantwortliche müssen bisher auf dem Privacy-Shield basierende Datenübermittlungen auf eine neue Rechtsgrundlage stützen.

2.      EU-Standardvertragsklauseln als Alternative

Das Urteil selbst verweist als Alternative für den transatlantischen Datenverkehr auf die auch bislang verwendeten EU-Standardvertragsklauseln („SCC“, eigentlich: Standarddatenschutzklauseln). Diese von der EU-Kommission erlassene Vertragsmuster ermöglichen die erforderliche Garantie für ein angemessenes Datenschutzniveau.

3.      Zusätzliche Garantien sind notwendig

Aufgrund der Rechtslage in den USA ist es nicht ausreichend, sich einfach auf die Standardschutzklausel zu verlassen, so der EuGH. Aufgrund mehrerer Gesetze können die USA kein vergleichbares Datenschutzniveau bieten. Dies betrifft mitunter staatliche Befugnisse zur Strafverfolgung und Terrorismusprävention (bspw. Section 702 FISA, die eine Überwachung von Nicht-US-Bürgern außerhalb der USA gestattet). Der EuGH gab in seinem Urteil daher vor, dass auch bei der Nutzung von oder der Umstellung auf der Standartschutzklauseln geprüft werden muss, ob da weitere Garantien notwendig sind. In der Praxis bedeutet dies, dass auch Unternehmen, die eine Datenübermittlung z.B. in die USA auf Standartschutzklauseln gestützt haben, ihre Datenübermittlungen in Drittländer erneut überprüfen müssen.

4.      Was ist zu tun?

Aufgrund der hohen Anforderungen, die der EuGH an Datenübermittlungen in die USA stellt, werden solche Transfers aktuell nur in den seltensten Fällen einer Prüfung der Datenschutzbehörden standhalten können. Wollen betroffenen Unternehmen absolut sicher gehen, sollten Datentransfers in die USA bis zur Klärung der weiteren Entwicklung suspendiert werden. Auch Datentransfers in andere Drittstaaten sollten einer Prüfung unterzogen werden.

Ist dies nicht möglich, sollte zumindest bei dem jeweiligen US-Anbieter nachgefragt werden, welche weitergehenden Garantien dieser   im Hinblick auf ein angemessenes Datenschutzniveau gibt?   Vor allem sollte erfragt werden, ob eine Verpflichtung des Anbieters besteht, Daten an US-Geheimdienste aufgrund von FISA oder anderen Gesetze zu zur Verfügung zu stellen.

Es bleibt zu hoffen, dass die Politik schnellstmöglich eine Lösung des aktuellen Problems herbeiführt.

Bei Fragen zu konkreten Maßnahmen der rechtskonformen Umsetzung helfen wir Ihnen gerne weiter. Kontaktieren Sie uns: kontakt[at]rmprivacy.de

Bildernachweis für diesen Beitrag © rangizzz -stock. adobe. com