Der Europäische Gerichtshof hat die Datenschutzvereinbarung „Privacy Shield“ zwischen der EU und den USA für unwirksam erklärt (Urteil des EuGH vom 16.07.2020, C-311/18). Dies hat weitreichende Folge für den transatlantischen Geschäftsverkehr.
Bereits im Jahr 2015 hatte der EuGH den Vorgänger des Privacy Shield-Abkommens, die Safe Harbor-Regelung gekippt.
Das Privacy Shield sollte das Schutzniveau der Europäischen Datenschutzgrundverordnung (DSGVO) beim Transfer von personenbezogenen Daten von der EU in die USA gewährleisten. US-Unternehmen mussten sich daher als Empfänger von geschützten Daten zertifizieren lassen.
Aufgrund dessen ist nun zu prüfen:
1.
Welche Datenverarbeitungen in den USA stattfinden und ob diese bis dato aufgrund der Privacy Shield-Zertifizierung Ihres US-Geschäftspartners legitimiert wurden.
2.
Diese Geschäftspartner sollten kontaktiert werden, um zu klären, welche rechtlichen Alternativen in Betracht kommen, um die Datenverarbeitung weiterhin in den USA durchzuführen. Diese sind z.B.:
a) sog. Standardvertragsklauseln:
Hierbei handelt es sich um Musterverträge, die die EU stellt. Gerne beraten wir Sie hinsichtlich der Auswahl des geeigneten Vertrags und des weiteren Procedere.
b) sog. Binding Corporate Rules:
Dies sind verbindliche Unternehmensrichtlinien zur Sicherstellung eines der DSGVO entsprechenden Schutzniveaus bei der Datenübermittlung.
Zu beachten ist allerdings, dass dies ein langwieriger Prozess ist und die Genehmigung durch die zuständige Datenschutzaufsichtsbehörde erfordert.
c) Verlagerung der Datenverarbeitung in die EU oder in ein sonstiges sicheres Drittland
Als letzte Möglichkeit ist daher in Betracht zu ziehen, die Datenverarbeitung in die EU oder in ein sonstiges sicheres Drittland (wie beispielsweise Japan, Israel, Schweiz, Argentinien, Kanada, Neuseeland oder Uruguay) zu verlagern, um die Problematik hierdurch faktisch zu erledigen.
3.
Nachdem die Abläufe angepasst wurden, sind die Datenschutzerklärungen entsprechend anzupassen, soweit diese darüber informieren, dass eine Datenverarbeitung in den USA mit einem durch das Privacy Shield-zertifizierten Geschäftspartner stattfindet. Dort ist sodann die neue Rechtsgrundlage für die Übermittlung der Daten anzugeben.
Entsprechendes gilt für Ihre interne Verfahrensdokumentation und abgeschlossene Auftragsverarbeitungsverträge, z.B. Hosting, Software as a Service etc., soweit ein US-Auftragsverarbeiter oder ein US-Subunternehmer eingeschaltet wurde.
Da die Entscheidung des Europäischen Gerichtshofs erhebliche, EU-weite Auswirkungen hat, ist davon auszugehen, dass die Datenschutzaufsichtsbehörden den betroffenen Unternehmen zunächst eine Übergangszeit gewähren, um ihre Prozesse anzupassen bevor aufsichtsrechtliche Maßnahmen drohen. Dies war nach der Entscheidung über die Nichtigkeit des Safe Harbor-Abkommens ebenfalls so.
Ob dieser Aufschub jedoch genauso für wettbewerbsrechtliche Abmahnungen durch Konkurrenten oder sonstige Verbände gilt, bleibt abzuwarten. Daher sollte eine zeitnahe Lösung gefunden werden.
Gerne berät Sie hierzu unser Kompetenzteam "Unternehmen und Wirtschaft".
Ihr Ansprechpartner:
Rechtsanwalt Tim Schwarzburg
Fachanwalt für Arbeitsrecht
Fachanwalt für Handels- und Gesellschaftsrecht
