1. Keine Datenübermittlung aufgrund des EU-US-Privacy Shields mehr
Mit Urteil vom 16.07.2020 hatte der Europäische Gerichtshof (EuGH) das EU-US-Privacy-Shield für ungültig erklärt (RS C-311/18, dort ab Rn. 150). Eine Übermittlung personenbezogener Daten in die USA kann seitdem nicht mehr auf dessen Basis erfolgen. Verantwortliche müssen solche Datenübermittlungen auf eine neue Rechtsgrundlage stützen.
2. EU-Standardvertragsklauseln als Alternative
Das Urteil selbst verweist als Alternative für den transatlantischen Datenverkehr auf die auch bislang verwendeten EU-Standardvertragsklauseln. Diese von der EU-Kommission erlassene Vertragsmuster können die erforderliche Garantie für ein angemessenes Datenschutzniveau ermöglichen.
3. Zusätzliche Garantien sind notwendig
Aufgrund der aktuellen Rechtslage in den USA ist es jedoch nicht ausreichend, sich einfach auf die Standardschutzklausel zu verlassen, so der EuGH. Aufgrund mehrerer Gesetze können die USA kein vergleichbares Datenschutzniveau bieten. Dies betrifft mitunter staatliche Befugnisse zur Strafverfolgung und Terrorismusprävention (bspw. Section 702 FISA, die eine Überwachung von Nicht-US-Bürgern außerhalb der USA gestattet). Der EuGH gab in seinem Urteil daher vor, dass auch bei der Nutzung von oder der Umstellung auf Standartschutzklauseln geprüft werden muss, ob weitere Garantien notwendig sind. In der Praxis bedeutet dies, dass auch Unternehmen, die eine Datenübermittlung z.B. in die USA auf EU-Standartschutzklauseln gestützt haben, ihre Datenübermittlungen erneut überprüfen müssen.
4. Was ist zu tun?
Aufgrund der hohen Anforderungen, die der EuGH an Datenübermittlungen in die USA stellt, werden solche Transfers aktuell nur in den seltensten Fällen einer Prüfung der Datenschutzbehörden standhalten können. Wollen betroffenen Unternehmen absolut sicher gehen, sollten Datentransfers in die USA bis zur Klärung der weiteren Entwicklung suspendiert werden. Auch Datentransfers in andere Drittstaaten sollten einer Prüfung unterzogen werden.
Ist dies nicht möglich, sollte zumindest bei dem jeweiligen US-Anbieter nachgefragt werden, welche weitergehenden Garantien dieser im Hinblick auf ein angemessenes Datenschutzniveau gibt? Vor allem sollte erfragt werden, ob eine Verpflichtung des Anbieters besteht, Daten an US-Geheimdienste aufgrund von FISA oder anderen Gesetze zu zur Verfügung zu stellen.
Es bleibt zu hoffen, dass die Politik schnellstmöglich eine Lösung des aktuellen Problems herbeiführt.
Bei Fragen zu konkreten Maßnahmen der rechtskonformen Umsetzung helfen wir Ihnen gerne weiter. Kontaktieren Sie uns: kontakt[at]rmprivacy.de
Bildernachweis für diesen Beitrag © rangizzz -stock. adobe. com