Seit 25.05.2018 gilt die Datenschutz-Grundverordnung (kurz: DSGVO)
Mit der Datenschutz-Grundverordnung (DSGVO) gibt es seit 25. Mai 2018 eine neue, EU-weit einheitliche Rechtsgrundlage, die rechtliche Verschärfungen und hohe Strafdrohungen vorsieht. Die DSGVO verpflichtet Unternehmen ein Datenschutzmanagement einzuführen, das den Schutz der personenbezogenen Daten in Unternehmen sicherstellen soll.
Die Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr stellt Unternehmen vor eine große Herausforderung. Insbesondere die Erhöhung des Strafrahmens von derzeit max. EUR 25.000,- auf bis zu EUR 20 Millionen oder bis zu 4 % des weltweiten Jahresumsatzes bei Datenschutzverstößen löst akuten Handlungsbedarf aus.
Das „EU-U.S: Data Privacy Framework“ – Das neue Datenschutzabkommen zwischen der EU und den USA
Aller guten Dinge sind Drei. Nach Safe Harbor und dem Privacy Shield wurde mit dem „EU-U.S. Data Privacy Framework“ ein neues Datenschutzabkommen zwischen der EU und den USA ins Leben gerufen. Es bildet die Grundlage für einen im Juni 2023 gefassten Beschluss der Europäischen Kommission, in dem das Datenschutzniveau für zertifizierte Unternehmen in den USA für angemessen erklärt wird („Angemessenheitsbeschluss“).
Per Urteil vom 16.07.2020 erklärt der EuGH das Privacy-Shield Abkommen zwischen Europa und den USA für ungültig
(Urteil in der Rechtssache C-311/18 Data Protection Commissioner / Maximilian Schrems und Facebook Ireland vom 16. Juli 2020)
Da auf Grundlage der US-Gesetzgebung nicht davon ausgegangen werden kann, dass bei der Übertragung von Daten europäischer Verbraucher in die USA das Schutzniveau der DSGVO gewahrt werden kann, ist das Privacy-Shield Abkommen nun vom EuGH für ungültig erklärt worden. Die zuständigen EuGH-Richter erklären, dass Informationen über europäische Verbraucher auf US-Servern nicht vor dem Zugriff dortiger Behörden und Geheimdienste geschützt sind. Dies betrifft nicht nur die großen amerikanischen IT Konzerne wie Google und Facebook, sondern auch eine Vielzahl an Hostinganbieter und Tracking- und Newsletter Dienstleister. Dieses Urteil bedeutet, dass ab sofort keine Nutzerdaten aus der EU in die USA übertragen werden dürfen.
Gutachten von Stephen Vladeck
Der amerikanische Jurist Stephen Vladeck erstellte ein Gutachten, in dem es um das US-Geheimdienstrecht geht, das es Geheimdiensten erlaubt, Kommunikationsdaten aller Nicht-US-Bürger anzufordern oder abzugreifen, um wirksam gegen Terrorismus vorgehen zu können. Die Problematik dabei: jegliche Daten sind betroffen – so auch elektronische Kundenkommunikation von beispielsweise Hotels, Banken oder Fluggesellschaften. Amerikanische Mutterkonzerne mit europäischen Tochtergesellschaften müssen demzufolge die Daten preisgeben, auch wenn dies lt. DSGVO nicht erlaubt wäre. Nach wie vor wurde keine Lösung für diese Rechtslücke gefunden.
Hier eine kleine Auswahl an häufig eingesetzter US-Dienste:
Am 25.03.2022 kündigten der US-Präsident Joe Biden und die EU-Kommissionschefin Ursula von der Leyen den Nachfolger des Privacy Shields an.
Nachdem das Abkommen aufgrund der unterschiedlichen Datenschutzniveaus der USA und EU im Jahr 2020 gekippt worden war, ist der Datentransfer zwischen amerikanischen und europäischen Cloud Service Providern seither nicht mehr rechtlich abgesichert. Die weitreichenden Zugriffsmöglichkeiten der US-Geheimdienste wurden hierbei besonders bemängelt, da Daten von Europäern eingesehen werden konnten.
Der Nachfolger des Privacy Shields soll einen vorhersehbaren und vertrauenswürdigen Datentransfer ermöglichen, wie von der Leyen bekanntgab. Zugriffsrechte der US-Geheimdienste sollen insoweit geregelt werden, dass diese ihre definierten und notwendigen Sicherheitsziele maßgeblich erfüllen können. Darüber hinaus soll ein unabhängiger Rechtsschutzmechanismus entstehen, welcher die Datenzugriffe der Geheimdienste kontrolliert und entsprechende Handlungen setzen kann.
Was nun?
Erstellen Sie am besten eine Liste mit Softwareanbietern und Dienstleistern aus den USA, die Sie aktuell in Ihrem Unternehmen nutzen. Werden über diese Tools personenbezogene Daten an die jeweiligen Anbieter übermittelt? Falls ja, dann können Sie entweder einen alternativen Anbieter innerhalb der EU wählen oder beim US Dienstleister nach einer Lösung (z.B. einer EU-Standard-Vertragsklausel) fragen.
Stützte sich Ihre Datenschutzerklärung bzgl. Der Datenübertragung an bestimmte Unternehmen auf das Privacy Shield Abkommen, so sollten Sie die Formulierung anpassen.
Insoweit der Nachfolger des Privacy Shields nicht finalisiert ist, handelt es sich lediglich um die Ankündigung eines neuen Abkommens, zumal dieser vorweg auf EU-Rechtskonformität geprüft werden muss. Aus diesem Grund raten wir Ihnen, die oben genannten Empfehlungen zu beachten, bis das neue Abkommen verabschiedet wurde.
Sie haben Fragen bei der rechtskonformen Umsetzung der DSGVO-Vorgabe?
Kontaktieren Sie uns jetzt und vereinbaren Sie einen Termin für ein Beratungsgespräch.
Wir entwickeln maßgeschneiderte Strategien und realisieren zukunftssichere Lösungen, die auf dem Einsatz effizienter Methoden und Technologien beruhen.