Der Europäische Gerichtshof (EuGH) hat das Privacy-Shield-Abkommen für ungültig erklärt. Was müssen Sie nun tun?
Worum geht es?
Wenn Sie personenbezogene Daten an ein Unternehmen außerhalb der EU übermitteln, dann gelten besonders strenge Voraussetzungen, weil die DSGVO ja nur in der EU gültig ist. Bei einem amerikanischen Unternehmen müssen Sie also anderweitig sicherstellen, dass vergleichbare Datenschutzstandards eingehalten werden. Das ging bisher über das EU-US Privacy Shield. Das wurde aber leider nun für ungültig erklärt.
Was ist zu tun?
Zunächst einmal sollten Sie prüfen, welche amerikanischen Unternehmen Daten von Ihnen erhalten (z. B. Microsoft im Rahmen der Nutzung von Office). Dann prüfen Sie, ob Sie das Privacy Shield bisher als gesetzliche Grundlage für die Datenübermittlung angegeben haben.
Wenn nicht, ist hier erst einmal nichts zu tun. Zwar ist auch bei anderen "Absicherungsmaßnahmen" wie den Standardvertragsklauseln Vorsicht geboten, da diese einer genauen Überprüfung und ggfs. Ergänzung bedürfen, um ein angemessenes Schutzniveau zu bieten, aber zumindest ist das aktuell die bessere Übergangslösung, bis Sie mittelfristig entschieden haben, ob Sie vielleicht zu einem anderen Anbieter wechseln möchten oder der Anbieter geeignete andere Nachweise für datenschutzkonformes Arbeiten erbringt.
Wenn Sie sich bisher auf das Privacy Shield berufen haben, müssen Sie prüfen, ob eine andere Grundlage in Frage kommt, zum Beispiel die oben erwähnten Standardvertragsklauseln. Dementsprechend müssen Sie Ihre Datenschutzhinweise aktualisieren.
Rechtlicher Hinweis: Ich beschäftige mich zwar tagtäglich mit den Themen Datenschutz und Internetrecht, bin aber kein Anwalt. Deswegen stellt dieser Beitrag ausdrücklich keine Rechtsberatung dar.