Privacy Shield ungültig – was bedeutet das für Unternehmen in Europa?

Privacy Shield ungültig – was bedeutet das für Unternehmen in Europa?

21. Jul. 2020, mit 4 von 5 bewertet, Kategorie: Evalanche Blog - für Marketing & Sales im B2B. , Autor: Raphaela Kergl

Der Europäische Gerichtshof (EuGH) erklärt das Privacy Shield-Abkommen zwischen der EU und den USA für ungültig. Jedem, der aktuell personenbezogene Daten durch US-amerikanische Unternehmen speichern oder verarbeiten lässt, ist die gesetzliche Grundlage dazu weggefallen. Jetzt heißt es handeln – aber was genau ist zu tun?

Dass das Verständnis von Datenschutz in Europa und den USA nicht zu vereinbaren ist, ist spätestens seit dem Außerkraftsetzen des Safe-Harbour-Abkommens 2015 bekannt. Im Juli 2016 trat dann das „Nachfolgemodell“ EU-US-Privacy-Shield auf den Plan, welches den Transfer personenbezogener Daten aus der Europäischen Union in die USA ermöglichte und neu regelte. Nicht ganz unerwartet kam das Urteil des EuGH am 16. Juli 2020, indem er das Privacy Shield-Abkommen für ungültig erklärt.

Datenschutzniveau in den USA unzureichend

Grund für die Entscheidung sind die Zugriffsmöglichkeiten der US-Behörden auf personenbezogene Daten innerhalb von US-Firmen, denen diese selbst und deren Tochtergesellschaften aufgrund des US CLOUD Act ausgeliefert sind – sogar dann, wenn diese US-Unternehmen nach dem Privacy Shield zertifizierte sind. Demnach sind auch personenbezogene Daten von EU-Bürgern nicht gemäß Datenschutz-Grundverordnung (DSGVO) geschützt. Die DSGVO (Artikel 44) gestattet den Datentransfer in nicht EU- oder EWR-Länder nämlich nur dann, wenn das Zielland ein angemessenes Datenschutz-Niveau aufweist oder ein Angemessenheitsbeschluss für dieses Land (Artikel 45) – wie es das Privacy Shield gewesen ist – besteht.

Standardvertragsklauseln & andere Auswege

Standardvertragsklauseln zum Datenschutz, wie sie von der EU-Kommission erarbeitet und veröffentlicht wurden, sind trotz des EuGH-Urteils weiterhin zulässig, unter folgenden Voraussetzungen:

  • Die Standardverträge der EU-Kommission müssen inhaltlich unverändert zwischen den beteiligten Unternehmen geschlossen werden.
  • Ein solcher Vertrag ist mit jedem Verarbeiter einzeln zu schließen.
  • Beide Vertragspartner müssen vorab prüfen, ob das geforderte Datenschutzniveau sichergestellt werden kann – und falls nicht, muss der Datenempfänger dem Datenübermittler dies mitteilen, woraufhin der Übermittler den Vertrag aussetzen oder beenden kann.

Neben den Standardklauseln gibt es noch andere Möglichkeiten, die jedoch

  • mit hohem Aufwand verbunden sind, wie eigene verbindliche Datenschutzvorschriften gemäß Artikel 47 DSGVO,
  • schwierig umzusetzen sind, wie die Variante der ausdrücklichen Einwilligung, weil eine rechtssichere Formulierung nahezu unmöglich ist,
  • Analyse- und Marketingzwecke gänzlich ausschließen.

Auf Nummer sicher mit deutschen Anbietern

Rechtlich weniger komplex ist es, sich statt auf einen US-Anbieter auf einen Auftragsverarbeiter aus der EU zu verlassen. Diese unterliegen den strengen Vorgaben der DSGVO und nationaler Datenschutzgesetze. Vor allem deutsche Anbieter punkten hier mit dem allgemeinen Qualitätskonsens von „Made in Germany“. Sind die Vorkehrungen der Unternehmen zudem ISO 27001-zertifiziert, muss sich der Auftraggeber (und für die Verarbeitung Verantwortliche) keine Sorgen mehr machen, ob es beim Umgang mit personenbezogenen Daten wirklich mit rechten Dingen zugeht. Für Sales und Marketing Manager hiesiger Unternehmen gibt es mittlerweile zahlreiche Software-Lösungen aus Deutschland, die sich in Funktionalität und Fortschrittlichkeit längst nicht mehr hinter den Big Playern aus den USA verstecken müssen.

Drei wichtige Schritte nach dem Privacy Shield-Aus

  1. Prüfen Sie, welche Datenflüsse, Tools und Abteilungen das Urteil in Ihrem Unternehmen betrifft.
  2. Wägen Sie ab, welche Alternativen (Standardklauseln, Einwilligung des Betroffenen, Anbieterwechsel…) für welche Datenflüsse in Frage kommen.
  3. Leiten Sie zügig die notwendigen Maßnahmen ein und beachten Sie die Hinweise der Aufsichtsbehörden.

Fazit

Der Datentransfer in die USA bzw. an US-Firmen ist nicht mehr mit der DSGVO zu vereinbaren und somit rechtlich nicht länger zulässig. Auch wenn aktuell nicht mit einer Bußgeldwelle von den Aufsichtsbehörden zu rechnen ist, sind Unternehmen gut beraten, jetzt nach einer alternativen Lösung zu suchen – und womöglich jetzt zu einem europäischen Dienstleister zu wechseln. Damit sind Unternehmen hierzulande langfristig auf der sicheren Seite.

Jetzt kostenloses E-Book zum Thema Datenschutz herunterladen!

Wichtige Informationen zum Thema Datenschutz finden Sie in unserem E-Book Email Marketing und Lead Management rechtskonform gestalten.

 

Jetzt herunterladen
nach oben