EuGH kippt den EU - US Privacy Shield

Am 16.07.2020 hat der Gerichtshof der Europäischen Union (EuGH) den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt.

https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf


Was bedeutet das?
Betroffen davon ist die Verarbeitung personenbezogener Daten in den USA. Sofern eine Verarbeitung personenbezogener Daten außerhalb der EU (bzw. des europäischen Wirtschaftsraums) erfolgt, ist gem. Art. 45 DSGVO dieses nur zulässig, wenn die Kommission beschlossen hat, dass das betreffende Drittland oder die Organisation etc. ein angemessenes Schutzniveau bietet. Mit den USA besteht ein derartiger Kommissionsbeschluss nicht. Aber es gab einerseits die sogenannten Standardvertragsklauseln der EU (Beschluss 2010/87) sowie sodann den EU-US-Datenschutzschild (Privacy Shield – Beschluss EU 2016/1250). Der EuGH urteilte am 16.07.2020, dass die sogenannten Standardvertragsklauseln weiterhin gültig seien und eine Prüfung anhand der Charta der Grundrechte jedenfalls nichts gegenteiliges ergäbe. Indes hat es den Privacy – Shield für ungültig erklärt. Hintergrund ist der in den USA nicht reglementierte (d.h. z.B. erst nach einer gerichtlichen Entscheidung) mögliche Zugriff auf Daten von Unternehmen bzw. Kunden der Unternehmen einfach durch die Behörden. Dieses sorge nach Auffassung des EuGH dafür, dass jedenfalls das Schutzniveau zwischen der EU und den USA nicht gleich sei. Zudem gäbe es auch Schwierigkeiten der Betroffenen (deren personenbezogene Daten verarbeitet werden) ihre Rechte durchzusetzen. Die Einschaltung eines Ombudsmannes gem. dem Privacy – Shield – Beschluss gewährleiste jedenfalls nicht die effektive Rechtedurchsetzung der Betroffenen. 


Was kann / muss ich tun?
Bitte prüfen Sie, inwiefern Ihr Unternehmen von dieser Entscheidung betroffen ist. Prüfen Sie bitte Ihre Dienstleister, Lieferanten etc. Haben diese (auch) Ihren Sitz in den USA wäre es derzeit erforderlich mit diesen die sogenannten Standardvertragsklauseln abzuschließen. 
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32010D0087

Einige Unternehmen (z.B. wie Trello, aber auch andere) sind bereits „zweigleisig“ gefahren und haben in ihren Datenschutzhinweisen und –vereinbarungen einerseits den damaligen EU-US-PrivacyShield enthalten, zum anderen aber auch die Standard contractual clauses. Hier ist nun zu prüfen, ob diese wirklich 1 zu 1 denen gem. dem obigen Link entsprechen. Dann besteht keine Gefahr und die Verarbeitung personenbezogener Daten mit diesem US – Unternehmen kann weiter fortgeführt werden. Gibt es dieses nicht oder weichen diese Klauseln von denen gem. dem obigen Link ab (dieses soll z.B. bei Zoom der Fall sein, vgl. https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf), wäre die Verarbeitung erst einmal einzustellen und der Support des jeweiligen Unternehmens zu kontaktieren und darauf hinzuweisen, dass diese 
a)    Klauseln 1 zu 1 übernehmen müssen und
b)    Zusichern müssen, dass sie die dort geregelten Garantien und Wahrungen der Rechte der Betroffenen auch einhalten können und einhalten werden. 
Ist dieses beides erfüllt, könne diese Anbieter weiter genutzt und entsprechend Daten weiter verarbeitet werden. 


Wieso ist das für mich überhaupt relevant?
Wie schon oben erwähnt, nutzen wir alle entsprechende Software von Anbietern aus den USA. D.h. selbst wenn Sie nicht direkt mit einer Firma aus den USA zusammenarbeiten besteht gleichwohl die Möglichkeit, dass Sie durch die Nutzung von Software eines entsprechenden Anbieters „ungewollt“ Daten in die USA übermitteln. Dieses betrifft natürlich die großen Anbieter wie Google, Microsoft etc. aber auch kleinere Anbieter wie eben Zoom, Trello, Mailchimp etc.

Falls Sie hier Fragen haben können Sie sich gerne an unseren Kooperationspartner Karsten Klug wenden. 

Karsten Klug
Externer Datenschutzbeauftragter (TÜV zert.)
 
Kaiser-Wilhelm-Str. 93
20355 Hamburg

T: +49 (40) 411 89 38 - 28
F: +49 (40) 411 89 38 - 37

mail@klug-datenschutz.de 
www.klug-datenschutz.de 

Datenschutz:
Nähere Informationen zu der Verarbeitung Ihrer personenbezogenen Daten können Sie unter nachfolgendem Link einsehen: https://klug-datenschutz.de/datenschutzerklaerung/

Kontakt

Bundesverband Golfanlagen e.V.
Georg-Wimmer-Ring 14
85604 Zorneding bei München
Route planen  

Telefon: 08106 99 54 490
Fax: 08106 99 54 49 99
E-Mail: info (at) bvga.de

Sie finden uns auch bei

Unsere Services

Newsletter 
Mit dem BVGA-Newsletter sind Sie immer informiert. 
Jetzt abonnieren  

Services 
Golfsterne
Hotels auf dem Golfplatz

Webseite durchsuchen