Unwirksamkeit des EU-US-Privacy Shields- EuGH-Rechtsprechung Juli 2020- Teil 2

Unwirksamkeit des EU-US-Privacy Shields- EuGH-Rechtsprechung Juli 2020- Teil 2

  1. Was hat das für Konsequenzen für Unternehmen:

Im Grunde genommen sind mit der Entscheidung des EuGHs die Datenverarbeitungen unzulässig, welche sich bei der Übermittlung von personenbezogenen Daten in die USA auf das EU-US-Privacy Shield stützen.

Erfolgt weiterhin eine Datenübermittlung in die USA kann dies von den Aufsichtsbehörden abgemahnt und ein Bußgeld verhängt werden, da es sich um eine unerlaubte Verarbeitung von personenbezogenen Daten handelt. Gemäß der DSGVO kann hierfür ein Bußgeld von bis zu 4% des Jahresumsatzes oder 20 Mio. Euro verhängt werden, je nachdem welcher der Beträge höher ist.

Lediglich Dienstleister und Verarbeitungsvorgänge, welche für die Weiterleitung von personenbezogenen Daten auf den EU-Standardvertragsklauseln basieren, können zukünftig noch genutzt werden.

Die Datenschutzaufsicht Berlin schreibt in einer Pressemeldung zum EuGH-Urteil:

„Der EuGH betont ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet sind, nach diesen Maßstäben unzulässige Datenexporte zu verbieten (Rn. 135, 146 des Urteils), und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen können (Rn. 143 des Urteils). Dieser dürfte insbesondere den immateriellen Schaden („Schmerzensgeld“) umfassen und muss nach dem europäischen Recht eine abschreckende Höhe aufweisen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGHs zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.“

  1. Hinweise und Handlungsempfehlungen:

Zunächst sind intern im Unternehmen alle Verarbeitungstätigkeiten zu kontrollieren und festzustellen, ob und in welchen Bereichen Datenweitergaben in die USA stattfinden.

Auch deutsche und europäische Anbieter greifen für ihren Services vielfach auf US-Unternehmen als Subunternehmer zurück, z.B. auf Amazon Web Service (AWS). Daher sollte man eine komplette Aufstellung aller IT-Dienstleister erstellen, mit denen eine Zusammenarbeit besteht, einschließlich deren Subunternehmen.

Finden Datentransfers in die USA statt oder werden Dienstleister bzw. Systeme von in den USA ansässigen Unternehmen eingesetzt, sollte der Datenschutzbeauftragte kontaktiert werden.

Zusammen mit dem Datenschutzbeauftragten ist sodann zu validieren, ob es eventuell andere geeignete Garantien gibt, welche zur Sicherstellung eines angemessenen Datenschutzniveaus herangezogen werden können, oder ob festgestellt werden muss, dass dieser Verarbeitungsvorgang nicht datenschutzkonform eingesetzt werden kann und somit eingestellt werden muss.

Darüber hinaus sollte zusammen mit dem Datenschutzbeauftragten ermittelt werden, ob die ermittelten Verarbeitungsvorgänge mit Weiterleitung von Daten in die USA nicht doch auf EU-Standardvertragsklauseln gestützt sind und somit kein weiterer Handlungsbedarf besteht.

Empfehlenswert ist Ausschau nach alternativen Anbietern zu halten, welche die personenbezogenen Daten ausschließlich im EU-Raum speichern sowie verarbeiten und keine Daten in die USA weiterleiten. Darüber hinaus können auch die vorhandenen Systeme und Dienstleister überprüft bzw. angefragt werden, ob eine Datenverarbeitung und Speicherung ausschließlich im EU-Raum stattfinden kann und personenbezogene Daten nicht in die USA weitergeleitet werden.

Bei Fragen oder Unterstützungsbedarf, wenden Sie sich an Ihren zuständigen Datenschutzbeauftragten im Unternehmen.

PRIOLAN als Ihr externer Datenschutzbeauftragter (jetzt anfragen!)

Datenschutz im Unternehmen ist ein komplexes Thema. Wenn Sie Unterstützung benötigen, um auf der sicheren Seite zu sein, können Sie sich vertrauensvoll an uns von PRIOLAN wenden. Wir helfen Ihnen deutschlandweit, rechtssicher zu werden und vor Abmahnungen geschützt zu sein.

Sie erreichen uns jederzeit über unser Kontaktformular oder während unserer Geschäftszeiten telefonisch unter 07131 / 26 28 0. Schützen Sie sich jetzt!

Das könnte Sie auch interessieren

In unserem Blog schreiben wir über die neusten Themen rund um Datenschutz, IT-Sicherheit und Whistle Blower. Schauen Sie jetzt rein!

Der Wechsel des Externen Datenschutzbeauftragten: Ein Leitfaden Ein Unternehmen, das den Dienst

Warum ein externer Datenschutzbeauftragter für 49 Euro im Monat unrealistisch ist.  

Keine Mehrheit im Bundesrat: Hinweisgeberschutzgesetz vorerst gescheitert Am 10.2.2023 wurde im Bundesrat