Daten. Leben.

Mit Standardvertragsklauseln Datentransfers rechtskonform gestalten

Die Hauptgrundlage für Datentransfers zwischen der EU und Drittstaaten ohne gleichwertiges Datenschutzniveau, das Privacy Shield, gibt es seit Juli 2020 nicht mehr. Sind Standardvertragsklauseln nun die Lösung? Theoretisch ja, aber praktisch muss genau ins Kleingedruckte gesehen werden.

Unternehmen mit Datentransfers in Länder wie die USA, China, Russland und Indien sind nun gefordert, dies für sich selbst zu prüfen und zu bewerten. Denn das EuGH und der Europäische Datenschutzausschuss (EDSA) weisen die Verantwortung für einen rechtmäßigen Einsatz der Standardvertragsklauseln den Unternehmen zu. Viele Unternehmen stellt das vor eine große Herausforderung.

Insbesondere bei Datentransfers in die USA sollten Sie deshalb in diesen Punkten aktiv werden:
 

  • Bestandsaufnahme
    In welchen Fällen exportieren Sie personenbezogene Daten und mit welchen Dienstleistern* oder Subunternehmern arbeiten Sie zusammen? Bei Unternehmen wie Google oder Facebook ist bekannt, dass sie Daten von EU-Bürgern in den USA verarbeiten. Doch auch EU ansässige Unternehmen speichern personenbezogene Daten aus Kostengründen oftmals in den USA. Damit haben US-Behörden ggf. freien Zugang zu diesen Daten. Lesen Sie detailliert die jeweiligen Standardvertragsklauseln.
     
  • Datenschutzerklärungen anpassen
    Entfernen Sie Angaben zum Privacy Shield in Ihrer Datenschutzerklärung und aktualisieren Sie die Angaben zur Art des Datentransfers. Betroffene Personen müssen darüber transparent informiert werden.
     
  • Rechtsgrundlagen prüfen
    Standardvertragsklauseln zwischen Verantwortlichem und Empfänger* sind seit dem Wegfall des Privacy Shield die wichtigste Rechtsgrundlage für US-Datentransfers. Sie sollten jedoch für jeden bestehenden Datentransfer eine Einzelfallprüfung vornehmen und bei nicht gleichwertigem Datenschutzniveau zusätzliche Maßnahmen festlegen. Diese können rechtlicher, technischer oder organisatorischer Art sein. Überprüfen Sie auch, ob diese umgesetzt und eingehalten werden.
     
  • Zusätzliche Schutzmaßnahmen
    Eine Möglichkeit ist die Ende-zu-Ende-Verschlüsselung Ihrer Daten. Diese verschlüsselt Daten nicht nur während der Übertragung, sondern auch noch, wenn sie dem Empfänger* im Drittstaatenland vorliegen. Der Schlüssel zur Entschlüsselung sollte jedoch unbedingt in der EU verbleiben. Auch die Pseudonymisierung Ihrer Daten könnte eine Alternative sein. Der Pseudonymisierungsschlüssel sollte auch in diesem Fall in der EU verbleiben.
    WICHTIG: Ergänzen Sie Ihre Standardvertragsklauseln und verpflichten Sie den Datenempfänger*, bei Aufforderung durch Aufsichtsbehörden, jegliche Datenübermittlung unverzüglich einzustellen bzw. die Daten zu löschen.
     
  • EU-Alternativen prüfen
    Lassen sich Datentransfers in Drittländer vermeiden? Gibt es EU-Anbieter* mit gleichen Funktionen zu vergleichbaren Kosten?
     
  • Konsequenzen
    Bei negativer Überprüfung der Datentransfers muss jedes Unternehmen für sich abwägen, ob es die Verarbeitung einstellt, sich eine Alternative sucht oder das Risiko eingeht. Welche Schritte Aufsichtsbehörden ergreifen werden, lässt sich aktuell nicht sagen. Eine Blockade von US-Transfers könnte weitreichende wirtschaftliche und politische Folgen haben. Ob es also direkt zur Verhängung von Bußgeldern oder erst einmal nur zur Untersagung kommt, bleibt abzuwarten. Eine ausgezeichnete Übersicht mit Tipps & To-Do-Liste finden Sie auf der empfehlenswerten Website datenschutzgenerator.de der Rechtsanwaltskanzlei Dr. Thomas Schwenke direkt hier

*w/m/d