UPDATE zum Privacy Shield

Nachdem nun mehrere Monate seit dem EuGH-Urteil gegen die Gültigkeit des Privacy Shield – Abkommens vergangen sind, werden wir heute eine kurze Bestandsaufnahme zur aktuellen Situation liefern. Die Frage lautet also, wie weiter mit der Übermittlung personenbezogener Daten an US-Anbieter?

Kurz gesagt ist die Situation immer noch unbefriedigend! Das Grundproblem des potentiellen behördlichen Zugriffs auf personenbezogene Daten bei Ihrem Vertragspartner in den USA ist natürlich nicht vom Tisch. Dennoch gibt es inzwischen Orientierungshilfen von unseren Datenschutzbehörden wie etwa die Empfehlung vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg.

Kurz zusammengefasst geht es dabei um diese Punkte:

  • Bewerten Sie die in die USA übertragenen personenbezogenen Daten (Kategorisierung).
  • Informieren Sie Ihre US-Dienstleister über das EuGH-Urteil und erfragen, ob der jeweilige Dienstleister ggf. schon angemessene Maßnahmen zur Minimierung des Missbrauchs personenbezogener Daten getroffen hat.
  • Die Datenverarbeitung mit US-Unternehmen müsste nun gemäß der EU-Standardvertragsklauseln erfolgen. Da diese aber in der aktuellen Form unbefriedigend sind, wird der Abschluss von Zusatzklauseln empfohlen wie in der oben verlinkten Empfehlung vorgeschlagen. Treffen Sie nach Möglichkeit mit Ihrem US-Dienstleister entsprechende vertragliche Regelungen.
  • Prüfen Sie regelmäßig europäische Alternativen, zumindest um den Nachweis zu erbringen, dass hiesige Angebote für die gewünschte Dienstleistung nicht zur Verfügung stehen, bestenfalls aber um die Datenhaltung zu europäischen Dienstleistern umzuziehen.
  • Passen Sie verwendete Texte auf Einwilligungen und Verträgen an, um die betroffenen Personen über die Details dieser Datenverarbeitungen zu informieren.
  • Korrigieren Sie das Verfahrensverzeichnis, sofern dort noch das Privacy Shield als Grundlage einer bestimmten Datenverarbeitung angeführt wird.
  • Dokumentieren Sie alle Ihre unternommenen Maßnahmen!

Aktuell werden die EU-Standardvertragsklauseln von offizieller Seite überarbeitet. Es ist zu erwarten, dass sich in einigen Monaten die in der verlinkten Empfehlung vermerkten Zusatzklauseln in den Standardvertragsklauseln zum großen Teil auch wiederfinden sollten. Dies würde den Unternehmen die aufwändige Nachverhandlung mit ihren US-Dienstleistern ersparen. Bis es aber soweit ist, trägt jedes Unternehmen selbst die Verantwortung, so weit wie es möglich und verhältnismäßig ist die Vertragsbeziehung mit US-Dienstleistern individuell anzupassen und betroffene Personen darüber zu informieren.