Max Schrems hat am 16.07.2020 mit seiner Klage gegen Facebook vor dem EuGH gewonnen. Somit ist die Übermittlung von personenbezogenen Daten aus der EU in sog. Drittstaaten (wie die US) rechtswidrig, wenn sich diese auf das EU-US Privacy Shield gestützt haben. Alle Informationen zum Urteil finden sich >hier<. Doch was heißt das nun für die Praxis? Die Datenschutzkonferenz (DSK) hat hierzu heute eine Pressemitteilung herausgegeben.
Ein gekürzter Auszug der DSK-Pressemitteilung
„…Für die Übermittlung personenbezogener Daten in die USA und andere Drittländerhat hat das Urteil nach einer ersten Einschätzung der DSK folgende Auswirkungen:
- Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden….
- …Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.
- …müssen auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen….
- …Artikels 49 DSGVO…Zur Anwendung und Auslegung dieser Vorschrift hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht.
- Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.
…Aufsichtsbehörden eine Schlüsselrolle bei der Durchsetzung der DSGVO und weiteren Entscheidungen über Datenübermittlungen in Drittländer zugewiesen. Die deutschen Aufsichtsbehörden werden sich in ihrem Vorgehen mit ihren Kolleginnen und Kollegen im Europäischen Datenschutzausschuss abstimmen und zukünftig auch zu spezifischeren Fragestellungen beraten…“
Unsere Empfehlungen für erste konkrete Maßnahmen sind:
- Prüfen Sie, ob Ihr Unternehmen personenbezogene Daten in die USA übermittelt, z.B. einen Dienstleister aus den USA nutzet. Prüfen Sie dann auf welcher Grundlage die Übermittlung erfolgt. Erste Hinweise finden sich ggf. in den Datenschutzhinweisen der Webseite, wenn z.B. Google-Analytics genutzt wird. Ist dies noch das EU-US Privacy Shield, so muss der Hinweis entfernt werden und durch eine neue Grundlage wie etwa EU-Standardvertragsklauseln ersetzt werden. Wichtig ist, dass diese auch mit dem Dienstleister abgeschlossen werden.
- Prüfen Sie auch Ihre Auftragsverarbeiter: Nutzen diese evtl. Dienstleister aus den USA oder gehören zu einem US-Konzern und übermitteln so personenbezogene Daten in die USA? Hier hilft ein kleiner Fragebogen. Unseren Kunden stellen wir diesen kostenfrei zur Verfügung.
Update vom 18.06.2021:
Nach vielen Meldungen rund um das Thema in den vergangenen 11 Monaten steht fest, dass Standardvertragsklauseln alleine nicht ausreichen um das Schutzniveau bei der Übermittlung in Drittstaaten zu gewährleisten. Der Europäische Datenschutzausschuss (EDSA bzw. EDPB) hat dazu nun “Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ (auf englisch) veröffentlicht.
Die Standardvertragsklauseln zur Verwendung zwischen Verantwortlichen und Auftragsverarbeiter können >hier< heruntergeladen werden.
Standardvertragsklauseln für internationale Datentransfers finden sich >hier<.
Aufbau der Klauseln
Die Klauseln sind modular aufgebaut und können in folgender Konstellation eingesetzt werden:
- Verantwortlicher an Verantwortlichen
- Verantwortlicher an Auftragsverarbeiter
- Auftragsverarbeiter an (Unter-)Auftragsverarbeiter
- Rückübermittlung des Auftragsverarbeiters in der EU an einen Verantwortlichen im Drittland
Die neuen Standardvertragsklauseln sind spätestens ab dem 27.09.2021 zwingend für Neuverträge zu verwenden. Spätestens bis zum 27.12.2022 muss eine Umstellung sämtlicher Altverträge auf die neuen Standardvertragsklauseln erfolgt sein.
Bei einer Auftragsverarbeitung decken die neuen Standardvertragsklauseln die Anforderungen aus Art. 28 DSGVO ab, so dass kein zusätzlicher Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO abgeschlossen werden muss.
Update vom 21.06.2021:
Auch die DSK hat in ihrer jüngsten Pressemitteilung noch einmal deutlich gemacht, dass auch bei Verwendung der neuen EU-Standardvertragsklauseln eine Prüfung der Rechtslage im Drittland und zusätzliche ergänzende Maßnahmen erforderlich sind.
Es ist davon auszugehen, dass die Aufsichtsbehörden dies in naher Zukunft überprüfen. Mehr dazu im Beitrag Schrems II – Kontrollkampagne der Datenschutz-Aufsichtsbehörden mit Fragebögen