Der Europäische Datenschutzausschuss (EDPB) hat Ende vergangener Woche häufig gestellte Fragen zum Schrems-II-Urteil veröffentlicht, mit dem der Gerichtshof der Europäischen Union kürzlich das Datenschutzabkommen Privacy Shield gekippt hat. Die EU-Datenschützer machen vor allem darauf aufmerksam, dass das Urteil keinerlei Schonfristen enthält. Es ist stattdessen sofort umzusetzen: Ein Datenaustausch mit Drittländern außerhalb des Europäischen Wirtschaftsraums ist unter Privacy Shield ab sofort illegal.
„Übertragungen auf Basis dieses rechtlichen Abkommens sind illegal“, heißt es dann auch in der Antwort zu einer weiteren Frage, mit der der EDPB auch direkt auf die mögliche Alternative „Standardvertragsklauseln“ verweist. Sie legen jedoch die Verantwortung für eine legale Übermittlung von Daten in die Hände des Unternehmens, das Daten in die USA oder ein anderes Land außerhalb des EU-Wirtschaftsraums übertragen will.
Unter anderem merken die Datenschützer an, dass das Gericht auch in Bezug auf die Standardvertragsklauseln festgestellt hat, dass das US-Recht kein gleichwertiges Schutzniveau bietet wie die EU. „Ob Sie personenbezogene Daten auf der Grundlage von Standardvertragsklauseln übermitteln können, hängt vom Ergebnis Ihrer Beurteilung ab, wobei die Umstände der Übermittlung und zusätzliche Maßnahmen, die Sie ergreifen könnten, zu berücksichtigen sind. Die ergänzenden Maßnahmen zusammen mit den Standardvertragsklauseln müssten nach einer Einzelfallanalyse der Umstände der Übermittlung sicherstellen, dass das US-Recht das angemessene Schutzniveau, das sie garantieren, nicht beeinträchtigt.“ Sei der Schutz nicht gewährleistet, müsse der Transfer personenbezogener Daten auf Basis der Standardvertragsklauseln ausgesetzt oder beendet werden.
Eine weitere Möglichkeit des Datentransfers bietet unter Umständen eine Ausnahmevorschrift des Artikels 49 der Datenschutzgrundverordnung. Demnach können Daten auch dann in die USA oder ein anderes Drittland übertragen werden, wenn eine explizite Zustimmung des Nutzers dafür vorliegt. Sie muss sich allerdings auf bestimmte Daten oder Übertragungen beziehen. Die Zustimmung muss vor dem Transfer eingeholt werden, auch wenn dieser erst nach der Datensammlung stattfindet. Die Zustimmung muss den Inhaber der Daten zudem gezielt über mögliche Risiken, die sich aus der Übertragung in ein spezielles Land ergeben könnten, informiert werden.
Der Datenschutzausschuss betonte abschließend, dass das Urteil nicht nur auf die USA, sondern auf alle Drittländer anzuwenden ist. Standardvertragsklauseln müssen also unter anderem jeweils dahingehend geprüft werden, dass die Gesetze im Empfängerland der Daten ein der EU entsprechendes Schutzniveau bieten.
Schon unmittelbar nach Bekanntwerden der Entscheidung hatte der Datenschutzaktivist Max Schrems, dessen Beschwerde gegen Facebook nicht nur das Privacy-Shield-Abkommen gekippt hat, sondern auch dessen Vorgänger, darauf hingewiesen, dass auch die Standardvertragsklauseln nicht für einen Datenaustausch mit den USA angewendet werden können. Die zuständigen Datenschutzbehörden forderte er auf, von sich aus gegen Unternehmen vorzugehen, „wenn US-Überwachungsgesetze gegen die Grundsätze des EU-Datenschutzrechts verstoßen, die Unternehmen aber nicht tätig geworden sind“.
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.