Nach dem Privacy Shield – jetzt handeln!
Seit der Entscheidung des Europäischen Gerichtshofes vom 16.07.2020 im sog. Schrems II-Verfahren ist jede Übermittlung personenbezogener Daten in die USA und an US-amerikanische Dienstleister in Europa in vielen Fällen unzulässig. Die Datenschutzaufsichtsbehörden erwarten jetzt die dokumentierte Umsetzung der gerichtlichen Anforderungen durch alle Unternehmen, die Dienstleister oder Sub-Dienstleister außerhalb der europäischen Union in die Verarbeitung von personenbezogenen Daten einschalten. Was müssen Sie als Unternehmer jetzt veranlassen?
Welche Bereiche stehen hier im Focus?
Besonders betroffen sind cloudbasierte Verarbeitungssysteme mit Beschäftigten- und/oder Gesundheitsdaten. Dies trifft besonders für Personalverwaltungsdienste und Arbeitsorganisationstools, aber auch Videokonferenzsysteme oder andere Online-Tools zum Datenaustausch zu, die durch Mitarbeiter im Unternehmen benutzt werden.
Ein weiterer Schwerpunkt bleiben die Internetpräsentationen. Nach den ersten Ergänzungen der Datenschutzhinweise aufgrund der geänderten Rechtslage müssen nun die nächsten Schritte erfolgen, wenn die Nutzung von Dienstleistern außerhalb der EU auch nach Ihrer Prüfung von Alternativen weiterhin erforderlich sein sollte.
Insbesondere die Einbindung von Marketing- und Analysetools, aber auch von Dienstleistern für zusätzliche Funktionen wie Kartenansichten, Buchungstools, Newslettertools oder Videoplattformen müssen auf europäische Alternativen geprüft oder zumindest die Weiterleitung von Nutzerdaten eingeschränkt werden.
Erst dann greift die Ausnahmeregelung der Einholung einer wirksamen Einwilligung nach Art. 49 DSGVO als rechtlich zulässige Übermittlungsnorm ohne einem angemessenen Datenschutzniveau, wie der Gerichtshof in seiner Entscheidung festgestellt hat
Sie beauftragen nur deutsche/europäische Dienstleister – müssen Sie trotzdem handeln?
JA, das Urteil betrifft nicht nur die Unternehmen mit Sitz in den USA, sondern alle Dienstleister auch mit Sitz in Deutschland oder Europa, wenn diese ihrerseits wieder Daten an Subdienstleister oder verbundene Unternehmen außerhalb der Europäischen Union übermitteln. Hier darf sich der Unternehmer nicht auf Zusicherungen in den Auftragsverarbeitungsverträgen verlassen, sondern muss diese auch auf Datenübermittlungen außerhalb der EU prüfen.
Was ist für Sie zu tun?
Wie wir bereits in unserer Meldung vom 16.07.2020 empfohlen haben, erwarten die zuständigen Datenschutzaufsichtsbehörden eine dokumentierte Prüfung aller Unternehmensprozesse unter Einbeziehung von externen Dienstleistern auf ihre Erforderlichkeit und Rechtmäßigkeit nach der Entscheidung des EuGH. Verantwortlich für die Durchführung dieser Prüfung und die Bewertung der Ergebnisse sind Sie als der jeweilige europäische Auftraggeber. Nur dann, wenn kein europäischer Dienstleister vergleichbare Dienste anbietet, kann ein außereuropäischer Dienstleister in Betracht gezogen werden.
Schreiben Sie Ihre Dienstleister/Auftragnehmer an und fordern Sie einen Nachweis darüber, welche zusätzlichen Gewährleistungen mit dem jeweiligen Subunternehmer mit Sitz außerhalb der EU zum Schutz IHRER Daten vereinbart wurden.
Gibt es praktikable Lösungen, die die neuen Anforderungen umsetzen?
Für die Internetpräsentationen empfehlen wir die Verknüpfung der – ohnehin erforderlichen – Cookie-Einwilligungen mit der zusätzlich erforderlichen Einwilligung bei Übermittlungen durch Nutzung von Dienstleistern außerhalb der EU. Für diesen Zweck haben wir gemeinsam mit der Rostocker Internetagentur Qbus eine integrierte Lösung entwickelt, die alle gegenwärtigen rechtlichen Anforderungen aus dem Gesetz, aufsichtsbehördlichen Entscheidungen und Gerichtsurteilen der letzten Jahre umsetzt. So funktioniert easyConsent.
Mein Dienstleister hat bereits EU-Standardvertragsklauseln vereinbart, das reicht doch?
NEIN, der Gerichtshof hat klargestellt, dass die bisherigen Standardverträge zwar weiterhin gelten, aber nur wenn sie um weitere Regelungen ergänzt werden. Diese müssen von den Dienstleistern eingefordert werden, falls diese nicht aktiv selbst auf die Unternehmen zukommen.
Diese „weiteren Zusicherungen“ müssen geeignet sein, den (nach amerikanischem Recht) rechtmäßigen Zugriff durch amerikanische Sicherheitsbehörden zu unterbinden – beispielsweise durch eine wirksame Verschlüsselung, besser noch Anonymisierung der Daten. Der europäische Auftraggeber muss überzeugt sein, dass diese zusätzlichen Sicherungen ausreichend sind, um die Rechte und Freiheiten der Betroffenen in gleicher Weise zu schützen, wie dies in Europa der Fall ist (Angemessenheit). Bei Zweifeln ist die zuständige Datenschutzaufsichtsbehörde zu konsultieren und deren Entscheidung nach Art. 46 (4) a DSGVO oder im Rahmen einer Datenschutzfolgeneinschätzung gem. Art. 57 (1) lit. l i.V.m. 36 (2) DSGVO einzuholen.
Die Anforderungen gelten gleichermaßen ab 31.12.2020 für alle Übermittlungen nach Großbritannien (Brexit!) und grundsätzlich für alle Dienstleister in Länder außerhalb der EU.
Was ist mit Facebook, Twitter & Co.?
Unter Hochdruck arbeiten die Aufsichtsbehörden an einem einheitlichen Vorgehen gegenüber den US-amerikanischen Social-Media-Anbietern. Um hier ein einheitliches Vorgehen aller Aufsichtsbehörden festzulegen, hat der Europäische Datenschutzausschuss eine Task-Force gebildet, die unter Leitung des Bundesbeauftragten „im Herbst“ Ergebnisse vorlegen will. Sobald diese Ergebnisse vorliegen, werden wir weitere Empfehlungen entwickeln können und zur Verfügung stellen.
Was hat das Gericht beanstandet?
Aufgrund amerikanischer Gesetze ist kein amerikanisches Unternehmen in der Lage, die bei ihm verarbeiteten Daten von europäischen Nutzern vor dem Zugriff durch amerikanische Sicherheitsbehörden zu schützen. Unternehmen können auch gezwungen sein, solche Daten von europäischen Tochterunternehmen oder Dienstleistern und Rechenzentren innerhalb der Europäischen Union bereitzustellen. Es kann den Unternehmen auch untersagt werden, seine Auftraggeber aus der EU über diese Anordnungen zu informieren. Aufgrund amerikanischen Rechts kann kein Europäer solche Anordnungen vor einem unabhängigen Gericht prüfen lassen. All dies verstößt gegen europäisches Verfassungsrecht und die Datenschutzgrundverordnung und ist somit unzulässig. Weil dies so ist – und eine Änderung der amerikanischen Gesetze genauso unwahrscheinlich wie eine Änderung der europäischen Grundrechtecharta erscheint – dürfen europäische Unternehmen solche Dienstleister nicht weiter nutzen.
Weitere Informationen zum Verfahren hier.
Axel Keller
Tel.: +49 381 12 88 49-0
Rechtsanwalt in Rostock
Beraterseite