Neue Rechtsunsicherheit für internationalen Datenaustausch, meldete der Digitalverband Bitkom Anfang Oktober 2017. Anlass war, dass der Europäische Gerichtshof (EuGH) die sogenannten Standardvertragsklauseln prüfen wird. Dabei nutzt gegenwärtig die große Mehrheit der Unternehmen genau dieses Instrument der Standardvertragsklauseln bei Datentransfers in die USA.
Die Datenschutz-Grundverordnung (DSGVO / GDPR) sieht bei Datenübermittlungen insbesondere folgende Möglichkeiten vor (abgesehen von den Ausnahmen für besondere Fälle, Artikel 49): Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (Artikel 45 DSGVO) und Datenübermittlung vorbehaltlich geeigneter Garantien (Artikel 46 DSGVO). Als geeignete Garantien gelten nach DSGVO:
Nach der Unsicherheit bei Privacy Shield (im Sinne eines Angemessenheitsbeschlusses der EU-Kommission) sind nun die Standarddatenschutzklauseln als geeignete Garantie in Frage gestellt. Bei Privacy Shield gibt es laut EU-Kommission Verbesserungsbedarf, die Entscheidung des EuGH zu den Standardvertragsklauseln steht aus. Wie sollen sich Unternehmen in Deutschland nun verhalten?
Gegenwärtig und bis auf weiteres gilt: Personenbezogene Daten können an US-Unternehmen entweder bei bestehender EU-US-Privacy Shield-Zertifizierung oder auf Grundlage der EU-Standardvertragsklauseln übermittelt werden. Im Konzernverbund können BCRs (Binding Corporate Rules) zur Anwendung gebracht werden.
Die Aufsichtsbehörden für den Datenschutz haben Informationen für Unternehmen zusammengestellt, wie diese sich hinsichtlich Privacy Shield verhalten sollten. Hier gilt es, sich regelmäßig mit den Informationen dazu zu befassen, da die Aufsichtsbehörden noch eine Stellungnahme zum Stand von Privacy Shield veröffentlichen werden. [Update: Diese ist inzwischen veröffentlicht worden.]
Wichtig ist es aber in jedem Fall, nicht alleine der Aussage eines US-Unternehmens zu trauen, dass man an Privacy Shield teilnehme. Kürzlich hat die FTC (Federal Trade Commission) über drei Fälle berichtet, in denen Unternehmen fälschlich auf eine Teilnahme an Privacy Shield verwiesen hatten. Gleichzeitig arbeitet die EU-Kommission an Vereinbarungen ähnlich Privacy Shield mit anderen Drittstaaten, so dass man auch hier die Entwicklung im Blick behalten muss.
Hinsichtlich der Entscheidung des EuGH bezüglich der Standardvertragsklauseln gilt es nun abzuwarten. Die Zeit aber kann man nutzen, um sich mit den anderen Instrumenten zu befassen, die die DSGVO nennt, insbesondere den Zertifizierungen und den Verhaltensregeln. Liegen geeignete Zertifizierungen und Verhaltensregeln nach DSGVO vor, können Unternehmen als Empfänger einer Datenübermittlung ihr angemessenes Datenschutzniveau darüber nachweisen. Geeignete Zertifikate und Verhaltensregeln werden gegenwärtig entwickelt, sie könnten später Rechtsinstrumente wie Privacy Shield und Standardvertragsklauseln als Rechtsgrundlage einer Datenübermittlung ablösen, wenn dies notwendig würde.
Es zeigt sich: Es gibt durchaus Auswege, um die in Zeiten der Digitalisierung notwendigen Datenübermittlungen in Drittstaaten zu ermöglichen, vorausgesetzt, das Datenschutzniveau im Zielland der Datenübermittlung entspricht den Vorgaben der Datenschutzgesetze in der EU und das Zertifikat, das das behauptet, entspricht selbst den Vorgaben der DSGVO (Artikel 42).
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…