Marketing Automation, Online Advertising, Social Media – viele Dienste laufen über US-Firmen. Nach dem letzten EuGH Höchstgerichtsurteil „Schrems-II“ ist der Datentransfer in die USA auf Grundlage einer Privacy-Shield-Zertifizierung datenschutzwidrig. Das bedeutet, dass diese Rechtsgrundlage nicht mehr gültig ist. Ein großes Problem für den Auftraggeber: Denn dieser ist verantwortlich für ein angemessenes Datenschutzniveau – fehlt dieses, drohen ihm hohe Strafen.
Das Urteil
Für den Datentransfer in Drittländer gibt es spezifische Vereinbarungen, wie Standardvertragsklauseln, Angemessenheitsbeschlüsse oder das Privacy-Shield-Abkommen mit den USA. Letzteres wurde nun aufgrund unzureichender Datenschutzstandards in einem Gerichtsverfahren vom Europäischen Gerichtshof gekippt. Aufgrund der unverhältnismäßigen Zugriffsrechte der US-Behörden auf Daten von EU-Bürgern, müsste der Datentransfer in die USA ohne ein entsprechendes Abkommen und Anpassung seitens der USA theoretisch sofort gestoppt werden. In der Realität ist das aber schwer umzusetzen.
Standardvertrag als Alternative?
Standardvertragsklauseln mit Ländern außerhalb des EWR sind laut dem Urteil des EuGHs weiterhin unter folgenden Voraussetzungen erlaubt: Der Verantwortliche (= Datenexporteur) muss selbst nachprüfen, ob der Datenimporteur das angemessene Datenschutzniveau nachweisen und garantieren kann. Ist dieses unzureichend, muss der Verantwortliche den Vertrag sofort auflösen und haftet im Zweifelsfall dafür. Da die USA auch hier unverhältnismäßige Eingriffsrechte geltend machen können, ist diese Entscheidung mit Vorsicht zu genießen und die Standardvertragsklauseln nicht ausreichend.
Bleiben diese drei Möglichkeiten:
– Umstieg auf europäische Lösungen (oder Lösungen aus Ländern mit Angemessenheitsbeschluss)
– Einholen einer ausdrücklichen Einwilligung der Betroffenen oder
– Vereinbarung von zusätzlichen Garantien, die für ein adäquates Schutzniveau sorgen (beispielsweise Datenverschlüsselung)
Sicherer Umgang mit Daten
Keine Sorge, wenn Sie den Überblick in diesem Daten-Wirrwarr verloren haben. Wir arbeiten schon seit vielen Jahren mit datengetriebener Kommunikation, kennen alle wegweisenden Urteile und setzen zeitnah entsprechende Maßnahmen. Dieses Wissen geben wir intern in regelmäßigen Schulungen weiter. Gemeinsam mit unserem Partner DSGVO.HELP unterstützen wir unsere Kunden bei datenschutzrelevanten Themen und gesetzeskonformen Umsetzungen. Klar ist, dass sich in diesem Gebiet in den nächsten Jahren noch einiges tun wird.