EuGH kippt den EU-US Privacy Shield

Ungewollte Datenübermittlung in die USA vermeiden

Vom Bundesverband Golfanlagen erreichte uns folgende Information des Externen Datenschutzbeauftragten Karsten Klug, die auch für Nicht-­BVGA-Mitglieder von Bedeutung ist:

 

Mit Beschluss vom 16.07.2020 hat der Gerichtshof der Europäischen Union (EuGH) den Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes für ungültig erklärt, s. folgenden Link: bit.ly/2Xgrqq3.

 

Was bedeutet das?

Betroffen davon ist die Verarbeitung personenbezogener Daten in den USA. Sofern eine Verarbeitung personenbezogener Daten außerhalb der EU (bzw. des europäischen Wirtschaftsraums) erfolgt, ist gem. Art. 45 DSGVO dieses nur zulässig, wenn die Kommission beschlossen hat, dass das betreffende Drittland oder die Organisation etc. ein angemessenes Schutzniveau bietet. Mit den USA besteht ein derartiger Kommissionsbeschluss nicht. Aber es gab einerseits die sogenannten Standardvertragsklauseln der EU (Beschluss 2010/87) sowie sodann den EU-US-Datenschutzschild (Privacy Shield – Beschluss EU 2016/1250). Der EuGH urteilte jetzt, dass die sogenannten Standardvertragsklauseln weiterhin gültig seien und eine Prüfung anhand der Charta der Grundrechte jedenfalls nichts gegenteiliges ergäbe. Indes hat es den Privacy Shield für ungültig erklärt. Hintergrund ist der in den USA nicht reglementierte (d.h. beispielsweise erst nach einer gerichtlichen Entscheidung) mögliche Zugriff auf Daten von Unternehmen bzw. Kunden der Unternehmen einfach durch die Behörden. Dieses sorge nach Auffassung des EuGH dafür, dass jedenfalls das Schutzniveau zwischen der EU und den USA nicht gleich sei. Zudem gäbe es auch Schwierigkeiten der Betroffenen (deren personenbezogene Daten verarbeitet werden), ihre Rechte durchzusetzen. Die Einschaltung eines Ombudsmannes gem. dem Privacy-Shield-Beschluss gewährleiste jedenfalls nicht die effektive Rechtedurchsetzung der Betroffenen.

 

Was kann/muss ich tun?

Jede Golfanlage sollte prüfen, inwiefern sie von dieser Entscheidung betroffen ist. Betrachtet werden sollten hierbei alle Dienstleister, Lieferanten etc. Haben diese (auch) ihren Sitz in den USA, wäre es derzeit erforderlich, mit diesen die sogenannten Standardvertragsklauseln abzuschließen, s. folgenden Link: bit.ly/30OwToR.

 

Einige Unternehmen (z.B. wie Trello, aber auch andere) sind bereits „zweigleisig“ gefahren und haben in ihren Datenschutzhinweisen und -vereinbarungen einerseits den damaligen EU-US Privacy Shield enthalten, zum anderen aber auch die Standard contractual clauses. Hier ist nun zu prüfen, ob diese wirklich 1 zu 1 denen gem. dem obigen Link entsprechen. Dann besteht keine Gefahr und die Verarbeitung personenbezogener Daten mit diesem US-Unternehmen kann weiter fortgeführt werden. Gibt es dieses nicht oder weichen diese Klauseln von denen gem. dem obigen Link ab (dieses soll z.B. bei Zoom der Fall sein, vgl. folgenden Link: bit.ly/2CJ3xjT), wäre die Verarbeitung erst einmal einzustellen und der Support des jeweiligen Unternehmens zu kontaktieren und darauf hinzuweisen, dass diese

 

  • Klauseln 1 zu 1 übernehmen müssen und
  • zusichern müssen, dass sie die dort geregelten Garantien und Wahrungen der Rechte der Betroffenen auch einhalten können und einhalten werden.

 

Ist dieses beides erfüllt, können diese Anbieter weiter genutzt und entsprechend Daten weiter verarbeitet werden.

 

Wieso ist das für mich überhaupt relevant? Wie schon oben erwähnt, nutzen wir alle entsprechende Software von Anbietern aus den USA. D.h., selbst wenn Sie nicht direkt mit einer Firma aus den USA zusammenarbeiten, besteht gleichwohl die Möglichkeit, dass Sie durch die Nutzung von Software eines entsprechenden Anbieters „ungewollt“ Daten in die USA übermitteln. Dieses betrifft natürlich die großen Anbieter wie Google, Microsoft etc., aber auch kleinere Anbieter wie eben Zoom, Trello, Mailchimp etc.

 

Weitere Fragen hierzu ­beantwortet Ihnen gerne Karsten Klug.

 

Autor: Karsten Klug,  Externer Datenschutz­beauftragter (TÜV zert.) | golfmanager 3+4/2020

 

Kontakt:

Klug Datenschutz ­Consulting

Kaiser-Wilhelm-Str. 93

20355 Hamburg

Tel: 040 / 4118938-28

E-Mail (at) klug-datenschutz.de

www.klug-datenschutz.de 

Presenting Partner

Köllen Druck + Verlag GmbH

Postfach 410354, 53025 Bonn
Telefon 0228 / 98 98 287
Fax 0228 / 98 98 229

golf (at) koellen.de
www.koellen-golf.de