Es kam wie es kommen musste – das Privacy Shield ist ungültig – wie schon Safe Harbor davor
Was heißt das nun für Unternehmen?
Der EuGH hat das zwischen der EU und USA vereinbarte Privacy Shield -Abkommen für ungültig erklärt. Grund sind die weitreichenden Rechte von US-Sicherheitsbehörden, die mit der DSGVO nicht in Einklang zu bringen sind. Irgendwie war uns das auch schon vorher klar, aber es war rechtlich o.k.
Unternehmen sind nun angehalten, das EU-Datenschutzniveau zu gewährleisten oder die Nutzung von US-Diensten einzustellen. Das betrifft primär Auftragsverarbeiter mit Sitz in den USA, aber möglicherweise auch Auftragsverarbeiter in der EU, mit Datenflüsse an Konzernunternehmen. Noch immer können Unternehmen Standarddatenschutzklauseln vereinbaren, dies ist auch aktuell noch gültig jedoch sollte es nur eine Übergangslösung sein.
Das EuGH stellt dazu klar: EU-Unternehmen dürfen den Standarddatenschutzklauseln nicht ungeprüft vertrauen. Das EU-Unternehmen muss nachweisbar prüfen und gewährleisten, dass die vertraglichen Abreden aus den Standarddatenschutzklauseln im Drittland auch eingehalten werden können. Und genau hier könnten sich künftig Probleme ergeben, denn das EU-Unternehmen wird in die Verantwortung genommen, nicht das US-Unternehmen.
Was bedeutet das für Sie?
- Prüfen Sie, ob Sie einen Auftragsverarbeiter als Dienstleister nutzen, der in den USA sitzt und sich auf das Privacy Shield beruft.
- Entscheiden Sie, ob Sie zwischenzeitlich die Dienstleistung „pausieren“ können.
- Ziehen Sie bei wichtigen Auftragsverarbeitern eine Einzelprüfung in Betracht.
Unsere Empfehlung
Wir hoffen, dass sich die Datenschutzbehörden und die EU-Datenschutzaufsicht nicht gleich auf die Bußgeldbescheide stürzen. Sagen können wir dazu aber nichts. Wir gehen davon aus, dass die Behörden in Kürze eine Stellungnahme zum weiteren Vorgehen veröffentlichen werden – so unsere Hoffnung.
Das wichtigste ist, dass Sie Ihre Anbieter im Blick haben, die momentan in den USA sitzen und die aktuellen Meldungen verfolgen. Trotz allem schadet es ja nicht, alternative Anbieter zu evaluieren, falls ein bestimmter Dienstleister die zukünftig erwarteten Garantien nicht erfüllen kann.
Was also tun?
Wir von BK Partner raten zur Nutzung von eigenen in der EU gehosteten Cloud Lösungen, wie z.B. Nextcloud. Eine von der EU empfohlenen Lösung, die komplett Office 365, Teams, Skype, G Suite… ersetzen kann. Damit stärken wir die EU-Unternehmen und machen uns langfristig unabhänig(er) von amerikanischen Anbietern.
Sprechen Sie uns an.