Intro
Am 16. Juli 2020 erließ der Europäische Gerichtshof (EuGH) sein Urteil in der Rechtssache C-311/18, bekannt als Schrems II. Der EuGH entschied, dass der EU-US-Datenschutzschild ungültig werden sollte. Die Standardvertragsklauseln (SCCs), ein Rechtsinstrument, das die Übermittlung von Daten aus der EU in Drittländer ermöglicht, werden als gültig anerkannt.
EU-US-Datenschutzschild
Der EU-US-Datenschutzschild war ein „Angemessenheitsmechanismus“, der es Organisationen, die sich an regulatorische Grundsätze hielten, ermöglichte, personenbezogene Daten aus der EU in die USA zu übertragen.
Was weiter?
Zum Zeitpunkt dieses Schreibens lässt das EuGH-Urteil die Datenübertragung zwischen der EU und den USA in der Schwebe. Natürlich kann der Datenschutzschild nicht mehr verwendet werden, aber es bleiben viele Fragen offen, ob SCCs für Datenübertragungen zwischen der EU und den USA oder anderen Ländern mit wirksamen nationalen Überwachungssystemen gültig bleiben.
FAQs:
WELCHE VERANTWORTLICHKEITEN der DSGVO, DIE VON DIESER ENTSCHEIDUNG BETROFFEN SIND?
Die Entscheidung betrifft die Verantwortung der für die Verarbeitung Verantwortlichen und Datenverarbeiter für die Übermittlung von Daten von EU-Bürgern in Länder außerhalb der EU. Eine solche Übertragung muss ein gewisses Maß an Schutz bieten und erfordert daher die Verwendung eines speziellen „Übertragungsmechanismus“, einschließlich:
- Angemessenheit : Diese Lösung ermöglicht eine uneingeschränkte Datenübertragung in ein Land oder eine Region, die nach Ansicht der Europäischen Kommission ein angemessenes Datenschutzniveau bietet Zu diesen Ländern gehören Andorra, Argentinien, Kanada (nur PIPEDA), Färöer, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, die Schweiz und Uruguay. Alle Angemessenheitsentscheidungen werden derzeit nach Inkrafttreten der DSGVO überprüft.
- Appropriate Safeguards: GDPR , . Schrems-II, , « » GDPR. Standard Contractual Clauses (SCC), . , , .
- Binding Corporate Rules (BCR): GDPR . BCRs EDPB. Schrems-II BCR « » GDPR .
- : GDPR 49, . , , . .
GDPR?
Bis zu 4% des Jahreseinkommens oder 20 Mio. €, je nachdem, welcher Wert höher ist. Darüber hinaus hat die Datenschutzbehörde (DPA) das Recht, die Übertragung von Daten aus ihrem Heimatland in die USA auszusetzen.
Was muss ich mit meiner aktuellen EU-US Privacy Shield-Zertifizierung tun?
Das US-Handelsministerium (DOC) hat erklärt, dass der Datenschutzschild weiterhin funktionieren wird, und erwartet, dass die Mitglieder ihre Datenschutzverpflichtungen weiterhin einhalten. Das US-amerikanische DOC, die Europäische Kommission und das European Data Protection Board (EDPB) haben angekündigt, einen Nachfolger für den Datenschutzschild zu schaffen. Unternehmen, die im Privacy Shield verbleiben, können den Übergang zu einem einmal eingerichteten Nachfolger vereinfachen.
Werden frühere Datenübertragungen innerhalb des Datenschutzschilds EU-USA betroffen sein?
Alle vorherigen Datenübertragungen unterliegen weiterhin dem EU-US Privacy Shield.
Wird es eine Nachfrist geben?
Die EDPB hat Leitlinien herausgegeben, die besagen, dass es keine Nachfrist geben wird. Angesichts der Ungültigmachung des EU-US-Datenschutzschilds müssen Unternehmen, die das EU-US-Datenschutzschild bisher zur Datenübertragung verwendet haben, eine alternative Rechtsgrundlage für die unverzügliche Übertragung von Daten finden.
Ich möchte den EU-US-Datenschutzschild verlassen. Was soll ich tun?
Wenn Sie sich entscheiden, das EU-US-DATENSCHUTZSCHILD zu verlassen, müssen Sie das in den USA festgelegte Verfahren befolgen .
Sollte ich die Datenschutzrichtlinie des Unternehmens aktualisieren?
Wir empfehlen, dass Sie als Mitglied des Datenschutzschilds zu diesem Zeitpunkt keine Änderungen an der Datenschutzrichtlinie vornehmen. Derzeit gibt es keine Grundlage oder behördliche Richtlinien für Änderungen, es sei denn, Sie haben (als Datenexporteur gemäß der DSGVO) angegeben, dass Sie sich bei der Übertragung von Daten außerhalb des EWR auf den Datenschutzschild als Rechtsgrundlage verlassen.
In der Datenschutzrichtlinie meiner Organisation heißt es eindeutig, dass wir den Datenschutzschild EU-USA verwenden, um Datenübertragungen von der EU in die USA zu legitimieren. Sollten wir diesen Hinweis entfernen?
Sie müssen die Richtlinie aktualisieren und angeben, welche Alternative Sie verwenden. Sie können auch eine vorübergehende Mitteilung hinzufügen, dass die Organisation eine Entscheidung auf der Grundlage einer Schrems-II-Entscheidung überprüft.
standard contractual clauses?
Solange die Daten nicht zu Zwecken der nationalen Sicherheit von US-Behörden gesammelt und / oder abgerufen werden, können SCCs von Fall zu Fall verwendet werden, je nachdem, ob der US-Datenimporteur in der Lage ist, seine spezifischen Datenverarbeitungsverpflichtungen zu erfüllen. Dies bedeutet, dass die Beweislast sowohl für den Datenexporteur als auch für den Datenimporteur im Drittland gestiegen ist, um sicherzustellen, dass sie alle SCC-Anforderungen erfüllen können. Der Datenimporteur muss außerdem bestätigen, dass er alle Grundprinzipien der DSGVO vollständig einhält. Dies bedeutet auch, dass der Importeur und Exporteur der Daten die Rechtsvorschriften des Drittlandes bewerten muss, um beispielsweise festzustellen, ob sie Überwachungsgesetzen unterliegen, die zu Eingriffen in die Rechte der EU-Bürger führen könnten. Falls ja,In einem solchen Fall kann die Übertragung nicht auf dem SCC basieren. Dies gilt ähnlich für BCR. In seinem Dokument gab die EDPB an, dass sie weitere Leitlinien zu den rechtlichen, technischen und organisatorischen Maßnahmen bereitstellen wird, die zur Ergänzung des SCC ergriffen werden können, um eine rechtlich ununterbrochene Datenübertragung sicherzustellen.
Wie wäre es mit der Weiterleitung von Daten von US-Unternehmen, die personenbezogene Daten der EU verarbeiten, an andere Unternehmen in den USA (z. B. Cloud-Anbieter)?
Nachträgliche Übermittlungen personenbezogener Daten aus einem der EWR-Länder müssen gemäß den von der DSGVO festgelegten Datenschutzstandards verarbeitet werden. Der Datenexporteur ist für die gesamte Datenverarbeitungskette verantwortlich, für die er der Datenverantwortliche ist. Wenn der Datenimporteur nicht garantieren kann, dass die in der DSGVO enthaltenen Standards und die geltenden Übertragungsmechanismen eingehalten werden können, müssen zusätzliche Sicherheitsvorkehrungen getroffen werden. Ist dies nicht möglich, ist keine Datenübertragung möglich.
Benötige ich noch einen Datenübertragungsmechanismus, wenn mein US-Unternehmen einen Server in die EU verlegt?
Dies hängt davon ab, wie die Daten im Unternehmen verarbeitet werden. Solange die Daten auf Servern in der EU gespeichert sind und nur von der EU aus zugegriffen werden kann, sind keine Datenübertragungsmechanismen erforderlich. Sobald jedoch von außerhalb der EU auf die Daten zugegriffen wird, erfolgt eine Datenverarbeitung (im Sinne von Artikel 4 Absatz 2 DSGVO), die auch eine Datenübertragung darstellt, für die Übertragungsmechanismen erforderlich sind. Wenn ein Unternehmen den US-Überwachungsgesetzen unterliegt, einschließlich, aber nicht beschränkt auf FISA-Abschnitt 702 und EO 12333, ist die Nutzung des EU-Servers kein garantierter Schutz.
Wird die Verschlüsselung im Falle einer möglichen Intervention der US-Regierung eine ausreichende Abhilfemaßnahme sein?
Die Verschlüsselung ist ein guter Sicherheitsmechanismus, sodass Daten nicht abgefangen werden können. Es gibt jedoch andere Mechanismen, die es der US-Regierung ermöglichen können, Zugang zu persönlichen Informationen zu erhalten. Letztendlich kann der Datensatz entschlüsselt werden, wenn andere Parteien darauf zugreifen.
Sind andere Übertragungsmethoden noch gültig?
Alle in der DSGVO enthaltenen Datenübertragungsmechanismen bleiben in Kraft. Der EuGH hob eine der Entscheidungen auf (EU-US Privacy Shield) und legte strengere Bewertungskriterien für die Verwendung anderer Übertragungsmechanismen fest.
Wurde der SWISS-US Privacy Shield widerrufen?
Nein.
Welche Auswirkungen werden diese Prozesse auf den Brexit und Großbritannien haben?
Es ist zu früh, um es zu sagen. Bis zum Ende der Übergangszeit (derzeit bis zum 31. Dezember 2020) wird das Vereinigte Königreich die DSGVO unverändert anwenden. Was als nächstes kommt, ist Gegenstand von Verhandlungen zwischen Großbritannien und der Europäischen Kommission.
Wie kommentieren die Aufsichtsbehörden diese Entscheidung?
EUROPEAN DATA PROTECTION BOARD (EDPB),
„Keine Informationen zur Durchsetzung oder Beratung zu Transfers; weitere Analyse folgt ".US-Handelsministerium,
"Obwohl das Handelsministerium zutiefst enttäuscht ist, dass das Gericht die dem Datenschutzschild der EU-USA zugrunde liegende Angemessenheitsentscheidung der Europäischen Kommission anscheinend für ungültig erklärt hat, prüfen wir derzeit noch die Entscheidung, die praktischen Auswirkungen vollständig zu verstehen."Polnischer Generalinspektor zum Schutz personenbezogener Daten - GIODO,
„Die für die Verarbeitung Verantwortlichen müssen eine individuelle Bewertung des Datenschutzniveaus vornehmen, das im Rahmen der grenzüberschreitenden Datenübertragung gewährleistet ist. Dabei müssen nicht nur die vertraglichen Bestimmungen zwischen Exporteuren und Importeuren von Daten berücksichtigt werden, sondern auch die gesetzlichen Bestimmungen in einem dritten Land, insbesondere hinsichtlich des möglichen Zugangs der Behörden dieses Landes zu den übermittelten Daten. Weitere Hinweise folgen über die EDPB ".Estnische Datenschutzinspektion,
«When transferring personal data to any third country with an insufficient level of data protection, it must be borne in mind that it is also important to be convinced of the third country’s adequate level of protection of personal data. Therefore, EU companies must always assess the European Commission’s data protection clauses themselves. The assessment must determine whether the protection of Europeans’ personal data can be protected in the future or in the future by ensuring data protection clauses. If the protection of personal data cannot be guaranteed, the transfer of data must be suspended. If it is desired to continue the data transfer, another appropriate safeguard must be found».