Privacy Shield: Datenübertragung in die USA für ungültig erklärt

1 Min. Lesezeit

Bis heute gab es eine Übereinkunft für die Übertragung von personenbezogenen Daten in die USA die im Sinne der DSGVO eine ausreichende Garantie bot (Durchführungsbeschluss EU 2016/1250). Mit dem Urteil des EuGH am 16. Juli 2020 wurde die Übereinkunft „Privacy Shield“ zwischen EU und USA für ungültig erklärt.

Das Wichtigste in Kürze

Bis heute gab es eine Übereinkunft für die Übertragung von personenbezogenen Daten in die USA die im Sinne der DSGVO eine ausreichende Garantie bot (Durchführungsbeschluss EU 2016/1250).
Juli 2020 wurde die Übereinkunft „Privacy Shield“ zwischen EU und USA für ungültig erklärt.
Sofern die Verträge mit dem jeweiligen Unternehmen die Standarddatenschutzklauseln der EU enthalten (z.B.
Microsoft Office365), besteht weiterhin eine Grundlage für den Datentransfer.

Betroffen sind grundsätzlich alle die Datendienste von US-Konzernen einsetzen, wie z.B. Amazon Web Services, Google, Microsoft, Rocket Science Group (MailChimp), Salesforce, ZenDesk, Zoom, etc.

Nicht betroffen sind „notwendige“ Datenübermittlungen, z.B. Bestellungen im Internet, Hotelbuchungen oder E-Mails in die USA. Diese dürfen gemäß Art. 49 DSGVO weiterhin erfolgen. Ebenfalls nicht betroffen sind Datenübermittlungen ohne personenbezogene Daten.

Es geht um das Outsourcing von Datenverarbeitungen, vor allem die Nutzung von Cloud-Diensten. Sofern die Verträge mit dem jeweiligen Unternehmen die Standarddatenschutzklauseln der EU enthalten (z.B. Microsoft Office365), besteht weiterhin eine Grundlage für den Datentransfer. Der Dienstleister garantiert damit, die Datenschutzgesetze der EU einzuhalten.

Der grundsätzliche Konflikt zwischen den Überwachungsmaßnahmen der USA und den in der EU geltenden Rechten auf Datenschutz besteht allerdings weiter. US-Unternehmen bleiben verpflichtet, personenbezogene Daten an US-Behörden auf Anforderung offenzulegen, und EU-Unternehmen bleiben verpflichtet, die Kontrolle über personenbezogene Daten zu erfüllen.

Prüfen Sie Ihre Verträge mit US-amerikanischen Auftragsverarbeitern. Teilweise haben diese bereits die EU-Standardvertragsklauseln etabliert. Sofern diese in den Verträgen enthalten sind, besteht kein weiterer Handlungsbedarf. Falls jedoch nur das Privacy Shield als Drittlandgarantie verwendet wurde, müssen umgehend die EU-Standardvertragsklauseln abgeschlossen werden. Die Vorlagen hierzu finden Sie HIER.

Für weitere Informationen zum Thema wenden Sie sich an die Experten des Beratungsunternehmens für Datenschutz und IT-Sicherheit msecure.

Quelle: iStock / BeeBright

Fakt: Bußgelder nach DSGVO können bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen.

Fakt: 95 Prozent aller Cybersecurity-Vorfälle sind laut IBM auf menschliche Fehler zurückzuführen.

Key Facts

DSGVO-Bußgelder: Europäische Datenschutzbehörden verhängten bisher über 4,5 Milliarden Euro an Strafen.

Datenpannen: 83 Prozent der Unternehmen erleben mehr als eine Datenschutzverletzung pro Jahr.

Häufige Fragen

Welche Strafen drohen bei DSGVO-Verstößen?

Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Hinzu kommen mögliche Schadensersatzforderungen von Betroffenen.

Was ist eine Datenschutz-Folgenabschätzung?

Eine DSFA ist eine systematische Bewertung der Risiken einer Datenverarbeitung für die Rechte und Freiheiten der Betroffenen. Sie ist Pflicht, wenn die Verarbeitung voraussichtlich ein hohes Risiko birgt – etwa bei Profiling, Videoüberwachung oder der Verarbeitung besonderer Datenkategorien.

Gilt die DSGVO auch für kleine Unternehmen?

Ja, die DSGVO gilt größenunabhängig für jedes Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet. Kleine Unternehmen profitieren von wenigen Erleichterungen (z.B. kein Verarbeitungsverzeichnis unter 250 Mitarbeitern bei nicht-risikobehafteter Verarbeitung), müssen aber alle Grundprinzipien einhalten.