Neues zum Thema:
EU-US Privacy Shield

EU-US Privacy Shield

Liebe Kunden, liebe Leser

nachdem der EUGH am 16.07.2020 den EU-US Privacy Shield für unwirksam erklärte (hier das Urteil). Herrschte übergreifend große Unsicherheit zum Umgang mit Drittlands Anbietern von Datenverarbeitungen.

Damit wurde im Endeffekt jede Auftragsverarbeitung in Drittländern (auch die USA) mehr oder minder für illegal erklärt, zumindest jedoch auf einen strengen Prüfstand gestellt.

Zwischenzeitig gab es hierzu erste Reaktionen von Seiten der Behörden in Deutschland.

Diese sind zwar noch nicht eindeutig und übergreifend anwendbar, geben aber wenigstens eine erste Einschätzung, auf welche Weise mit der aktuellen Thematik verfahren werden kann.

Deshalb lassen wir Ihnen in Anlehnung an die Orientierungshilfe des Landesbeauftragten für Baden-Württemberg eine ergänzte Handlungsempfehlung zukommen.

Hier unsere Übersicht aus unserem letzten Mailing in aktualisierter Form.

Möglichkeiten, mit dem Datentransfer in Drittstaaten umzugehen:

  1. Straußentaktik (nicht empfehlenswert):
    Kopf in den Sand stecken und warten, bis sich das Problem von alleine löst (Privacy-Shield V2?)

    -> Wird bei Prüfung durch die Behörden mit Sicherheit mit Bußgeldern belegt.

  2. Nutzung von Standardvertragsklauseln mit Einzelfallprüfung und zusätzlichen Garantien durch den Auftragsverarbeiter (Empfehlung unsererseits):
    Nutzen der Standardvertragsklauseln mit einer Bewertung des Datenschutzes in den betreffenden Ländern und vom betreffenden Verantwortlichen, sowie zusätzlicher Garantien, so, dass die Datenübermittlung erlaubt ist.

    -> bei korrekter Ausführung ist es durchaus möglich, hier ein weitestgehend rechtskonformes Konstrukt zu erschaffen. Kann bei Prüfung durch die Behörden ggf. standhalten. Absolute Sicherheit ist leider nicht gegeben.

  3. Nutzen der verbliebenen Möglichkeit nach Artikel 49 DSGVO (Empfehlung unsererseits):
    Art. 49, Abs. 1, lit. a bietet die Möglichkeit der Datenübermittlung auf Basis der informierten Einwilligung der betroffenen Person. Dies hieße, dass für alle Übermittlungen in die USA eine gesonderte Datenschutzinformation und Einwilligung in die Datenübermittlung durch die jeweils Betroffenen Personen einzuholen wäre. Dies betrifft alle Mitarbeiter, aber leider auch alle weiteren Personen, deren Daten auf den entsprechenden Systemen verarbeitet werden (bei Office können Sie sich vorstellen, wer das alles ist). Das genaue Vorgehen ist in der Orientierungshilfe unter Kapitel III und IV erläutert. Für die USA haben wir dies untenstehend nochmal für Sie zusammengefasst.

    -> Eine ggf. saubere Lösung, die allerdings mit etwas Aufwand verbunden ist. Kann im Falle der Fälle aber in der Umsetzung scheitern. Sofern sauber umgesetzt aber voraussichtlich unbedenklich.

  4. Abstellen der entsprechenden Dienste und Umschwenken auf legale Alternativen:
    Für so ziemlich alle Office-Anwendungen und auch Windows selbst gibt es open-source- alternativen, die entweder über EU-Dienstleister für Sie betrieben werden können, oder sogar auf eigenen Servern betrieben werden können.

    -> Rechtlich einwandfrei. Probleme gibt es allerdings im Rahmen von Kompatibilität der Dateien, Schulung der Mitarbeiter auf neue Software und natürlich bei der Umstellung der Systeme selbst. Nicht zuletzt muss auch ein kurzfristiger Kostenfaktor betrachtet werden.

    Vorgehen für die Datenübermittlung in die USA:

  1. Nutzen Sie zusätzliche Garantien, die die Einhaltung der Rechte von EU-Bürgern auch im Drittland sicherstellen. Dies können z.B. Verschlüsselung (bei der nur der Datenexporteur den Schlüssel hat und die auch von US-Diensten nicht gebrochen werden kann) oder Anonymisierung sein.
  2. Nutzen Sie die Standardvertragsklauseln und ergänzen Sie diese wie folgt:
    !ACHTUNG! die Klauseln selbst nicht verändern, sonst werden diese ungültig und müssen neu freigegeben werden. Arbeiten Sie nur mit Ergänzungen. Die ursprünglichen texte verändern Sie aber nicht.
    Nehmen Sie folgende Ergänzungen in einer gesonderten Vereinbarung zusätzlich zu den Standardvertragsklauseln auf (Dies sind noch keine vorgefertigten Texte, sie sollten aber schon einen guten Eindruck vermitteln, worum es geht)
  3. Ergänzung Anhang Klausel 4f:
    Information der betroffenen Person nicht nur bei der Übermittlung besonderer Datenkategorien, sondern bei jeglicher Datenübermittlung (vor oder so bald wie möglich nach der Übermittlung), dass ihre Daten in ein Drittland übermittelt werden, das kein angemessenes Schutzniveau im Sinne der Verordnung(EU) 2016/679 bietet.
  4. Ergänzung Anhang Klausel 5d i:
    Pflicht des Datenimporteurs, nicht nur den Datenexporteur, sondern soweit bekannt auch die betroffene Person unverzüglich zu informieren über alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten; Aufnahme dieser Ergänzung in die Drittbegünstigung, ergänzend zu Klausel 3 Abs. 2
    Ist diese Informationsweitergabe anderweitig untersagt, beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen, müssen Sie sich mit der zuständigen Aufsichtsbehörde  in Verbindung setzen und das weitere Vorgehen abklären; in diesen Fällen ist der Datenimporteur zu verpflichten, regelmäßig dem Datenexporteur allgemeine Informationen über erhaltene Anfragen von Behörden zu unter diesem Vertrag verarbeitete personenbezogene Daten zur Verfügung zu stellen (zumindest Anzahl der Anträge, Art der angefragten Daten, ersuchende Stelle)

  5. Ergänzung von Anhang Klausel 5 d um die Verpflichtung des Datenimporteurs, den Rechtsweg gegen eine Weitergabe von personenbezogenen Daten zu beschreiten und die Offenlegung der personenbezogenen Daten gegenüber den jeweiligen Behörden zu unterlassen, bis er von einem zuständigen Gericht letztinstanzlich zur Offenlegung rechtskräftig verurteilt wurde; Aufnahme dieser Ergänzung in die Drittbegünstigung, ergänzend zu Klausel 3 Abs. 2
  6. Ergänzung von Anhang Klausel 5 h um die Verpflichtung des Datenimporteurs, soweit dieser ihm bekannt ist auch den Betroffenen von der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zu benachrichtigen; Aufnahme dieser Ergänzung in die Drittbegünstigung, ergänzend zu Klausel 3 Abs.
  7. Ergänzung von Klausel 6 um den Zusatz, dass die betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, nicht nur berechtigt
    ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen, sondern auch vom Datenimporteur.
  8. Aufnahme einer Verpflichtung des Datenimporteurs, den Betroffenen verschuldensunabhängig von allen Schäden freizustellen, die durch den Zugriff von Stellen seines Staates auf die Daten der Betroffenen entstehen.
  9. Aufnahme des in Anhang 2 genannten Beispiels für eine Entschädigungsklausel:
    Haftung Die Parteien erklären sich damit einverstanden, dass, wenn eine Partei für  einen  Verstoß  gegen  die  Klauseln  haftbar  gemacht  wird,  den  die andere  Partei  begangen  hat,  die  zweite  Partei  der  ersten  Partei  alle Kosten,   Schäden,   Ausgaben   und   Verluste,   die   der   ersten   Partei entstanden  sind,  in  dem  Umfang  ersetzt,  in  dem  die  zweite  Partei haftbar ist. Die Entschädigung ist abhängig davon, dass a)  der  Datenexporteur  den  Datenimporteur  unverzüglich  von  einem Schadensersatzanspruch in Kenntnis setzt und b) der Datenimporteur die Möglichkeit hat, mit dem Datenexporteur bei der  Verteidigung  in  der  Schadensersatzsache  bzw.  der  Einigung  über die Höhe des Schadensersatzes zusammenzuarbeiten.

    (Option) für Unternehmensgruppen/Konzerne mit Mitgliedsunternehmen in einem Drittland. Einsatz von so genannten verbindlichen internen Datenschutzvorschriften. Diese stützen sich, sofern Sie nicht den Umweg über eine Genehmigung durch Ihre Aufsichtsbehörde gehen wollen, ebenfalls auf die Standardvertragsklauseln und müssen ggf. auch entsprechende zusätzliche Garantien als „Verstärker“ bekommen.

Weiterhin wichtig zu wissen ist, dass die Behörden ein unrechtmäßiges Verbleiben bei einem Dienstleister/Vertragspartner obwohl es ein zumutbares Alternativangebot ohne Transferproblematik gibt, nicht dulden werden. Hier wird klargestellt, dass in einem solchen Fall die Datenübermittlung direkt untersagt wird. Es ist also Vorsicht geboten!

Egal, für welche Lösung Sie sich entscheiden. Wir stehen Ihnen mit unserem schlagkräftigen Netzwerk für alle Lösungen direkt oder mit unseren Partnern zur Verfügung.

Sprechen Sie uns einfach an.

Ihr J-TEC GmbH Team