Der Europäische Gerichtshof (EuGH) hat mit dem Schrems-II-Urteil (C-311/18) nicht nur das EU-US-Privacy-Shield gekippt, sondern wesentliche, neue Anforderungen an die Datenübermittlung in Drittländer außerhalb der EU beschrieben. Solche Datenübermittlungen finden in nahezu allen Unternehmen statt, selbst wenn keine eigene Niederlassung in einem Drittland besteht.
Reichweite der EuGH-Entscheidung
Die EuGH-Entscheidung betrifft zunächst unmittelbar Unternehmen, die in Handelsbeziehung mit Unternehmen stehen, die einen Sitz in den USA haben und in diesem Rahmen personenbezogene Daten über ihre Kunden oder Beschäftigten austauschen. Dies gilt insbesondere im Rahmen bestehender Konzern- und Matrixstrukturen.
Die Entscheidung betrifft aber auch den Einsatz von Anwendungen Dritter (Technologieanbieter), die zur Datenübertragung im Einsatz sind. Dazu gehören alle Cloud-Anbieter, die diese z. B. in den USA oder in anderen Drittländern hosten.
Dazu gehören also insbesondere, aber nicht abschließend, die folgenden Dienste:
- Microsoft-Produkte (MS-Teams; MS-Office, etc.)
- Videokonferenzsysteme wie Webex (Cisco) oder Zoom
- IT-Cloud-Systeme wie Salesforce, Success Factors etc.
- Fanpage in Facebook o.ä.
- u.v.a.m.
Umsetzung in der Praxis
Da der EuGH keine Übergangsfrist vorgesehen hat, sollte zügig gehandelt werden. Datenübertragungen, die bisher auf Basis des EU-US-Privacy-Shields oder den Standdatenschutzklauseln basieren, sind besonders betroffen. Die neu definierten Anforderungen können aber auch bestehende Binding Corporate Rules (BCR) betreffen.
Diese ersten Schritte sind dringend zu empfehlen:
- Einbindung des DSB und weiterer Funktionen (Z.B. HR, BR, Fachabteilungen etc.)
- Bestandsaufnahme hinsichtlich bestehender internationaler Datenübermittlungen
- Prüfung des jeweiligen Datenschutzniveaus im Drittland
- Prüfung der Rechtsgrundlage für Datenübertragung (Standarddatenschutzklausel, Binding Corporate Rules, etc.)
- Durchführung eines Assessments hinsichtlich einer hinreichenden Garantie
- Bestimmen weiterer technische und organisatorische Maßnahmen
- Änderung der Bestimmungen der Standardvertragsklauseln
- ggfs. Abstimmung mit Behörde (insbes. bei Beschäftigtendaten bzw. sensiblen Daten)
Im Ergebnis beruht die Entscheidung des EuGH auf der Erkenntnis, dass zahlreiche Drittländer kein im Wesentlichen gleichwertiges Datenschutzniveau bieten; insbesondere greifen Geheimdienste auf die übertragenen Daten zu. Ziel soll es sein, dies zu unterbinden.
Es werden hier enorme Anforderungen an die Unternehmen gestellt, die die Behörden ihrer eigenen Auskunft nach bereits zeitnah umfassend prüfen wollen.
Kommen Sie bitte gerne auf uns zu unter cad@institut-cad.de!