Neue Rechtsunsicherheit für internationalen Datenaustausch, meldete der Digitalverband Bitkom Anfang Oktober 2017. Anlass war, dass der Europäische Gerichtshof (EuGH) die sogenannten Standardvertragsklauseln prüfen wird. Dabei nutzt gegenwärtig die große Mehrheit der Unternehmen genau dieses Instrument der Standardvertragsklauseln bei Datentransfers in die USA.
Die Datenschutz-Grundverordnung (DSGVO / GDPR) sieht bei Datenübermittlungen insbesondere folgende Möglichkeiten vor (abgesehen von den Ausnahmen für besondere Fälle, Artikel 49): Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (Artikel 45 DSGVO) und Datenübermittlung vorbehaltlich geeigneter Garantien (Artikel 46 DSGVO). Als geeignete Garantien gelten nach DSGVO:
Nach der Unsicherheit bei Privacy Shield (im Sinne eines Angemessenheitsbeschlusses der EU-Kommission) sind nun die Standarddatenschutzklauseln als geeignete Garantie in Frage gestellt. Bei Privacy Shield gibt es laut EU-Kommission Verbesserungsbedarf, die Entscheidung des EuGH zu den Standardvertragsklauseln steht aus. Wie sollen sich Unternehmen in Deutschland nun verhalten?
Gegenwärtig und bis auf weiteres gilt: Personenbezogene Daten können an US-Unternehmen entweder bei bestehender EU-US-Privacy Shield-Zertifizierung oder auf Grundlage der EU-Standardvertragsklauseln übermittelt werden. Im Konzernverbund können BCRs (Binding Corporate Rules) zur Anwendung gebracht werden.
Die Aufsichtsbehörden für den Datenschutz haben Informationen für Unternehmen zusammengestellt, wie diese sich hinsichtlich Privacy Shield verhalten sollten. Hier gilt es, sich regelmäßig mit den Informationen dazu zu befassen, da die Aufsichtsbehörden noch eine Stellungnahme zum Stand von Privacy Shield veröffentlichen werden. [Update: Diese ist inzwischen veröffentlicht worden.]
Wichtig ist es aber in jedem Fall, nicht alleine der Aussage eines US-Unternehmens zu trauen, dass man an Privacy Shield teilnehme. Kürzlich hat die FTC (Federal Trade Commission) über drei Fälle berichtet, in denen Unternehmen fälschlich auf eine Teilnahme an Privacy Shield verwiesen hatten. Gleichzeitig arbeitet die EU-Kommission an Vereinbarungen ähnlich Privacy Shield mit anderen Drittstaaten, so dass man auch hier die Entwicklung im Blick behalten muss.
Hinsichtlich der Entscheidung des EuGH bezüglich der Standardvertragsklauseln gilt es nun abzuwarten. Die Zeit aber kann man nutzen, um sich mit den anderen Instrumenten zu befassen, die die DSGVO nennt, insbesondere den Zertifizierungen und den Verhaltensregeln. Liegen geeignete Zertifizierungen und Verhaltensregeln nach DSGVO vor, können Unternehmen als Empfänger einer Datenübermittlung ihr angemessenes Datenschutzniveau darüber nachweisen. Geeignete Zertifikate und Verhaltensregeln werden gegenwärtig entwickelt, sie könnten später Rechtsinstrumente wie Privacy Shield und Standardvertragsklauseln als Rechtsgrundlage einer Datenübermittlung ablösen, wenn dies notwendig würde.
Es zeigt sich: Es gibt durchaus Auswege, um die in Zeiten der Digitalisierung notwendigen Datenübermittlungen in Drittstaaten zu ermöglichen, vorausgesetzt, das Datenschutzniveau im Zielland der Datenübermittlung entspricht den Vorgaben der Datenschutzgesetze in der EU und das Zertifikat, das das behauptet, entspricht selbst den Vorgaben der DSGVO (Artikel 42).
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…