Das Datenschutzabkommen „Privacy Shield“ zwischen der EU und den USA ist seit dem 16. Juli 2020 passé. Das Datenschutzniveau in den USA sei nach den EU-Normen nicht ausreichend, so der der Europäische Gerichtshof (EuGH). Der „Privacy-Shield“ diente in den meisten Fällen als Grundlage für die Datenübermittlung in die USA als sog. „Drittland“. Nach der DSGVO ist Verarbeitung von personenbezogener Daten außerhalb der EU verboten, wenn in den so genannten “Drittländern” kein angemessenes Datenschutzniveau vorliegt (Art. 44 bis 49 DSGVO).
„Das Urteil hat erhebliche Auswirkungen für den Datenaustausch von Firmen mit den USA“, so Dieter Kempf, Präsident des Bundesverbands der Deutschen Industrie, der dpa. „Ich bedauere das Urteil des Europäischen Gerichtshofs. Es ging bei der zu klärenden Frage eigentlich um den Umgang von privaten Konsumenten mit Plattformen.“ Nun müssen aber alle Unternehmen, die personenbezogene Daten in die USA übermitteln, dringend handeln. Das betrifft nahezu JEDE Firma – der Mittelstand ist alarmiert!
Datenübermittlungen in die USA auf Grundlage des Privacy-Shields sind nunmehr rechtswidrig. Die Aufsichtsbehörde haben bereits angekündigt, dass es keine Schonfrist geben wird (vgl. Beschluss der DSK vom 28.07.2020, https://www.datenschutzkonferenz-online.de/media/pm/20200616_pm_schrems2.pdf).
Unsere Kunden in Deutschland und Österreich müssen sofort agieren, um datenschutzkonform zu handeln. Unternehmen, die sich ausschließlich auf das Privacy-Shield-Abkommen verlassen haben, haben nun ein Problem. Entweder müssen sie mit ihrem Vertragspartner auf eine andere Rechtsgrundlage wie die EU-Standardvertragsklauseln umstellen. Meist werden sich EU-Standardvertragsklauseln anbieten, wenngleich auch diese keine Garantie für eine dauerhafte Zulässigkeit bieten. Diese hat der EuGH nicht für ungültig erklärt.
Er sagt nur, dass beim Einsatz von EU-Standardvertragsklauseln zusätzlich geprüft werden muss, ob in dem betreffenden Drittland tatsächlich angemessen durchsetzbare Rechte und wirksame Rechtsbehelfe bestehen. Oder Betroffene müssen die Datenverarbeitung anpassen. Das bedeutet beispielsweise, den Anbieter zu wechseln oder die Daten zu verschlüsseln oder zu anonymisieren.Wir empfehlen als erstes eine Liste aller genutzten US-Dienste, -Softwareanbieter und -Dienstleister zu erstellen und eruieren, ob an diese personenbezogene Daten der Nutzer übermittelt werden. Dann muss der Anbieter/Tool gewechselt werden.
Es handelt sich vorrangig um folgende Dienste:
Webdesign
Google Maps, Google reCAPTCHA, Google Web Fonts, Adobe Fonts
Ads
Google Ads, Adsense, Conversion & Doubleclick
Facebook Pixel
E-Mailmarketing
ActiveCampaign, Mailchimp
Videokonferenzen
Google Hangouts, Google Meet, GoToMeeting, Microsoft Teams, Skype, Zoom
Social Media
Facebook-Connect und Plugin, Twitter-, Instagram-, Tumblr-, LinkedIn-, Pinterest-Plugin
Tracking
Google Analytics
Hosting
Shopify, Squarespace, Weebly, Wix
Und die Nutzung von Whatsapp Business sind somit im B2B ab sofort auchnicht mehr erlaubt.
Bußgelder und Abmahnungen sind denkbar und möglich oder Sanktionen durch Datenschutzbehörden. Leider ist die gesamte Situation ergebnisoffen und wer auf Nummer Sicher gehen will, dem empfehlen wir schnellstmöglich, nach Alternativen zu suchen.