Privacy Shield für ungültig erklärt 2020: Was Sie wissen müssen und können SCCs eine Atempause bringen?

Am 16. Juli 2020 hat der Gerichtshof der Europäischen Union (der „EuGH“) sein wegweisendes Urteil in der Rechtssache Schrems II (Rechtssache C-311/18) gefällt. In seinem Urteil kam der EuGH zu dem Schluss, dass die von der Europäischen Kommission herausgegebenen Standardvertragsklauseln (die „ SCCs “) für die Übermittlung personenbezogener Daten an außerhalb der EU niedergelassene Datenverarbeiter weiterhin gültig sind, und betonte die Notwendigkeit einer Einzelfallprüfung . Unerwartet hat das Gericht das EU-US Privacy Shield Framework für ungültig erklärt (verstößt gegen die Anforderung von Artikel 45(2)(a) der DSGVO).

Wie der Zeitstrahl zeigt, wurde Schrems II jahrelang entwickelt und ist ein faszinierender Fall. Infolge des Falls müssen US-Unternehmen, die in Europa Geschäfte tätigen oder Daten von europäischen Kunden verarbeiten, entweder neue individuelle Datenverarbeitungsvereinbarungen, sogenannte Standardvertragsklauseln (SCCs), mit der EU aushandeln oder die Übertragung von Daten aus europäischen Betrieben einstellen in die USA.

Das Urteil hat Auswirkungen auf

(a) mehr als 5.000 Unternehmen in den Vereinigten Staaten, die sich im Rahmen des Privacy Shield-Mechanismus selbst zertifiziert haben, und

(b) eine unbestimmte Anzahl von Unternehmen außerhalb der Vereinigten Staaten, die sich auf die Privacy Shield-Selbstzertifizierung der Empfänger verlassen haben, um die strengen EU-Datenschutzgesetze einzuhalten.

Reaktion der Aufsichtsbehörden

Nach der Entscheidung des EJC Schrems II haben einige Aufsichtsbehörden ihre Meinung zum weiteren Vorgehen geäußert, insbesondere im Hinblick auf die weitere Verwendung der Standardvertragsklauseln (SCC). Nachfolgend haben wir die wichtigsten Botschaften und Erkenntnisse zusammengefasst:

Hamburg

Die Hamburger Datenschutzbehörde folgert :

Wenn die Unwirksamkeit des Privacy Shields primär auf die eskalierenden nachrichtendienstlichen Aktivitäten in den USA zurückzuführen ist, muss dies auch für die Standardvertragsklauseln gelten. Ebenso ungeeignet sind vertragliche Vereinbarungen zwischen Datenexporteur und -importeur, um Betroffene vor staatlichem Zugriff zu schützen.

Das sehen sie aber auch

neben Binding Corporate Rules und Individualvereinbarungen können vor allem die SCC als Grundlage für Übermittlungen in Drittstaaten herangezogen werden. Gleichzeitig ist aber diesmal die Unsicherheit gestiegen: Der EuGH gibt den Ball an die europäischen Aufsichtsbehörden weiter.

Johannes Casper, Beauftragter der Datenschutzbehörde Hamburg, erklärt:

Nach der heutigen EuGH-Entscheidung liegt der Ball erneut bei den Aufsichtsbehörden, die nun vor der Entscheidung stehen, die gesamte Datenweitergabe über Standardvertragsklauseln kritisch zu hinterfragen.

Bundeskommissar

Gleichzeitig verbindet der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) , Professor Ulrich Kelber, das heutige Urteil des Europäischen Gerichtshofs (EuGH) zum internationalen Datentransfer mit einer Stärkung der Betroffenenrechte:

Der EuGH stellt klar, dass der internationale Datenverkehr weiterhin möglich ist. Allerdings müssen die Grundrechte der europäischen Bürger respektiert werden. Für den Datenaustausch mit den USA müssen nun besondere Schutzmaßnahmen getroffen werden. Unternehmen und Behörden können auf Basis des Privacy Shield, das der EuGH für unwirksam erklärt hat, keine Daten mehr übermitteln. Selbstverständlich beraten wir Sie intensiv bei der Umstellung

Rheinland-Pfalz

Ein sehr proaktiver Ansatz wurde bereits von der Datenschutzbehörde Rheinland-Pfalz verfolgt. Bereits wenige Stunden nach der EuGH-Entscheidung wurde ein FAQ-Dokument zur EuGH-Entscheidung veröffentlicht . In Bezug darauf, was Datenexporteure jetzt in Bezug auf die SCC tun müssen, kommen sie zu dem Schluss:

Datenverantwortliche müssen prüfen, welche Gesetze für den Datenimporteur in dem Drittland, in das er die Daten zu übermitteln beabsichtigt, und gegebenenfalls für seine anderen Vertragspartner in dieser Geschäftsbeziehung gelten und ob diese Gesetze die Garantien der Standardvertragsklauseln berühren . Gegebenenfalls sind die konkreten Datenflüsse dahingehend zu analysieren, welche Gesetze des Drittstaates jeweils anwendbar sind. Diese Pflichten gelten für Datenübermittlungen in alle Drittländer, nicht nur in die USA.

Die Gültigkeit der SCC-Entscheidung wird anerkannt

Da das Gericht die Gültigkeit der SCC-Entscheidung von 2010 bestätigt hat, können die Datenströme von der EU in den Rest der Welt auf der Grundlage von SCCs ununterbrochen fortgesetzt werden. Aber selbst für Unternehmen, die sich beim Exportieren von Daten aus dem EWR auf SCCs verlassen, wäre es ratsam, diesen Bereich genau zu überwachen. Der EU-Justizkommissar Didier Reynders gab am selben Tag wie die Entscheidung eine frühzeitige Ankündigung heraus und verwies auf seine Pläne, die Standardvertragsklauseln angesichts ihrer inzwischen gestiegenen Bedeutung zu aktualisieren.

Außerkraftsetzung des Privacy Shield ohne Übergangsfrist

Da das Gericht auch entschieden hat, das Privacy Shield zu prüfen und es für ungültig befunden hat, werden alle Datenflüsse, die sich auf dieses Rahmenwerk stützen, rechtswidrig.

Dem Privacy Shield droht nun das gleiche unglückliche Schicksal wie dem Safe-Harbor-Programm im Jahr 2015. Ähnlich wie bei der Aufregung nach der Ungültigkeitserklärung des Safe-Harbor-Programms könnten sich die Regierungen der USA und der EU treffen, um die in der Entscheidung des EuGH aufgezeigten Mängel zu beheben. Aber bis diese Mängel behoben sind, sollte jedes Unternehmen, das sich auf den Datenschutzschild verlässt, um Daten ordnungsgemäß zu übertragen, auf andere Maßnahmen umsteigen, die ausdrücklich als angemessene Schutzmaßnahmen erachtet werden, wie z. B. SCCs, Benutzereinwilligung und Binding Corporate Rules (BCRs).

Da die Behörden anerkennen, dass die Standardvertragsklauseln immer noch als Grundlage dienen, erwarten wir, dass die Behörden den Organisationen eine Nachfrist einräumen werden, um sich nach dem Urteil in Bezug auf die Übertragungen an die Vorschriften zu halten. Nach dem Fall von Safe Harbor im Jahr 2015 wurde eine 6-monatige Nachfrist gewährt. Angesichts der breiteren Auswirkungen wäre es vernünftig, dies jetzt zu wiederholen und diese Frist möglicherweise zu verlängern.

Nächste Schritte für Organisationen

Unternehmen sollten sich jetzt auf die Post-Privacy-Shield-Ära vorbereiten und verbindliche Unternehmensregeln (BCR) und Standardvertragsklauseln (SCC) für ihren eigenen Datenschutz einführen.

1. Während SCCs ihre Gültigkeit behalten, müssen Organisationen, die sich derzeit auf sie stützen, prüfen, ob unter Berücksichtigung der Art der personenbezogenen Daten, der Zwecke und des Kontexts der Verarbeitung und des Bestimmungslandes ein „angemessenes Schutzniveau“ besteht. für die nach EU-Recht erforderlichen personenbezogenen Daten. Wo dies nicht der Fall ist, sollten Organisationen prüfen, welche zusätzlichen Schutzmaßnahmen implementiert werden können, um sicherzustellen, dass tatsächlich ein „angemessenes Schutzniveau“ besteht.
2. Organisationen, die sich derzeit auf das Rahmenwerk des EU-US-Datenschutzschilds verlassen, müssen dringend einen alternativen Datenübertragungsmechanismus finden, um die Übertragung personenbezogener Daten in die USA fortzusetzen die Übertragung ist zur Erfüllung eines Vertrags erforderlich), und SCCs oder Binding Corporate Rules sollten ebenfalls als alternative Mechanismen in Betracht gezogen werden.

Kurz gesagt, Unternehmen, die der DSGVO unterliegen, sollten dies berücksichtigen

(i) ihre Daten in die USA fließen,

(ii) den jeweiligen rechtlichen Mechanismus für solche Übermittlungen in die USA und

(iii) wenn der EU-US-Datenschutzschild der aktuelle Übertragungsmechanismus ist, einen legitimen Übertragungsmechanismus für solche Aktivitäten einrichten.

Was Convert tun wird

1. Achten Sie auf die Hinweise der Aufsichtsbehörden, des Europäischen Datenschutzausschusses und der Europäischen Kommission.
2. Bewerten Sie, welche Daten außerhalb der EU übertragen werden und auf welcher Grundlage, indem Sie eine Datenzuordnung durchführen. In dieser Übung achten wir auf:
   1. Datenübermittlungen an Organisationen, die am Privacy Shield teilnehmen,
   2. Datenübertragungen, die auf Standardvertragsklauseln beruhen – beachten Sie insbesondere alle Datenübertragungen an US-Importeure, die sich auf SCCs stützen,
   3. Datenübertragungen, die auf Binding Corporate Rules beruhen und Datenübertragungen in die USA beinhalten.
3. Informieren Sie aktive und Testbenutzer mithilfe von In-App-Nachrichten über die nächsten Aktionen. Kurz gesagt, für unsere Kunden, deren EU-Datenübertragungen bereits von SCCs abgedeckt waren, muss nichts unternommen werden. Für diejenigen, die zuvor unter den Datenschutzschild fallen, ist die Übernahme der EU-Standardvertragsklauseln (SCCs) ein notwendiger Weg nach vorne. Wenn Sie ein Convert-Kunde sind, der SCCs integrieren möchte, wird sich Ihr Convert Customer Success Hero mit Ihnen in Verbindung setzen, um mit dem Prozess der Integration der Standardvertragsklauseln in unsere aktuelle(n) Vereinbarung(en) mit Ihnen zu beginnen.
4. Unterzeichnen Sie aktualisierte Datenverarbeitungsvereinbarungen (DPAs) und/oder Standardvertragsklauseln (SCCs) mit allen Unterauftragsverarbeitern.
5. Wenden Sie sich an Privacy Shield, um Updates zur Schrems-II-Entscheidung zu erhalten.
6. Aktualisieren Sie unsere Datenschutzerklärung, um einen Link zu vorsignierten SCCs aufzunehmen.
7. Aktualisieren Sie die DPA-Seite, um den aktuellen Status widerzuspiegeln.
8. Behalten Sie andere Datenübertragungsmechanismen im Auge.