Veröffentlicht am 9. September 2020

In letzter Zeit erreichen uns immer mehr Nachfragen zum Urteil des EuGH im Hinblick auf das Urteil des EuGH zum „kippen“ des EU-US-Privacy Shield.

Der Inhaber unseres Kooperationspartners DURY LEGAL Rechtsanwälte Herr Rechtsanwalt Marcus Dury, LL.M. hat für Sie die neusten Informationen auf dem Blog der Kanzlei DURY zusammengefasst.

Empfehlung von DURY LEGAL:

Allgemein lässt sich zusammenfassen, dass die Nutzung von IT-Services mit Wurzeln in den USA – für die Verarbeitung personenbezogener Daten – ab sofort nur noch in sehr engen Anwendungsfällen überhaupt noch nach der DSGVO rechtlich zulässig ist.

Darüber, ob bzw. wie schnell die in Deutschland zuständigen Aufsichtsbehörden entsprechende Verstöße gegen die DSGVO verfolgen wollen bzw. können, herrscht bislang keine Klarheit.Es ist aber klar. dass die Verarbeitung personenbezogener Daten unter Nutzung von IT-Services von US-Unternehmen nun in fast allen Fällen ohne ausreichende Rechtsgrundlage i.S.d. DSGVO erfolgt und man spätestens jetzt nach Europäischen Alternativen Ausschau halten sollte und dies auch so dokumentieren sollte, dass man bei Anfragen der zuständigen Aufsichtsbehörde nicht „komplett mit heruntergelassenen Hosen dasteht“.

Grundsätzlich gilt aber „KEINE PANIK“. Setzen Sie auf eine geordneten Umbau Ihrer IT-Services! Dann besteht eine sehr gute Chance, dass Sie im Fall einer aufsichtsbehördlichen Internvention glimpflich davon kommen. Bei Unternehmen, die besonders sensible Daten i.S.d. Art. 9 DSGVO, in den USA verarbeiten lassen, sollten jedoch alle Alarmglocken klingeln.Hier ist eine gewisse Dringlichkeit in der Umstellung der IT-Services geboten.

Was ändert sich durch den Wegfall des Privacy Shield für Websitenbetreiber?

Die derzeitige Situation bei Datenexporten in die USA ist weiter unklar. Vor dem praktischen Bedürfnis, weiter Daten exportieren zu können und der bußgeldbewehrten Pflicht, die Vorgaben der DSGVO einzuhalten, ist ein einfaches „Abwarten“ nicht zu empfehlen.

  1. Ein Datenexport, der ausschließlich auf dem EU-US-Privacy-Shield basiert sollte möglichst bald eingestellt werden. Rein rechtlich dürfte er schon jetzt unzulässig sein. Bußgelder sind jederzeit möglich, wenn wohl auch nicht kurzfristig zu erwarten.
  2. Sofern das amerikanische Unternehmen Standarddatenschutzklauseln verwendet, muss sichergestellt werden, dass das Datenschutzniveau europäischen Standards entspricht. In diesem Schritt sollte man auch mit den amerikanischen Unternehmen in Kontakt treten und diese zu einer Stellungnahme auffordern, ob die personenbezogenen Daten einem ausreichenden Schutzniveau unterliegen.
  3. Bereits jetzt sollten Unternehmen sich überlegen, welche Tools für Sie absolut notwendig sind. Eine Exit-Strategie sollte wenn möglich geplant und dokumentiert werden.

In einem ersten Schritt haben wir die Unternehmen ermittelt, die Standardvertragsklauseln anbieten und diese als Rechtsgrundlage in die Datenschutzerklärung übernommen. Bitte beachten Sie, dass die Gültigkeit der Standardvertragsklauseln in der aktuellen Diskussion stark umstritten ist. Von der Verwendung von Tools ohne Standardvertragsklauseln müssen wir ausdrücklich abraten, da die Übertragung in die USA in diesem Fall offenkundig rechtswidrig erfolgt.

Wir empfehlen zudem allen Unternehmen mit den Betreibern in den USA Kontakt aufzunehmen und zu klären, ob diese die EU-Standards erfüllen können.

Die Antworten sind jedoch erfahrungsgemäß wenig belastbar und wenig fundiert.

EU-US-Privacy Shield ein Update

Falls Sie eine Webseite oder einen Online-Shop betreiben und Ihren Internetauftritt effektiv, nachhaltig gegen teure Bußgelder und Abmahnungen absichern möchten, stehen wir Ihnen mit unserem Website-Check bzw. unserem Paket für einen rechtssicheren Online-Shop gerne zur Seite. Sie erhalten von uns die auf Ihre Webseite angepassten Rechtstexte (Impressum, DSGVO-konforme Datenschutzerklärung, Widerrufsbelehrung, Muster-Widerrufsformular). Diese müssen Sie dann nur noch auf Ihrer Seite einpflegen. Darüber hinaus prüft ein spezialisierter Rechtsanwalt Ihre Seite, selbstverständlich inklusive Haftungsübernahme.

Author
Benjamin Schmidt
Benjamin Schmidt ist Diplom-Jurist in der IT-Recht Kanzlei DURY. Er leitet dort die Abteilung Website-Check und ist an der Schnittstelle Kanzlei/Website-Check tätig. Vorher war er Mitarbeiter der Website-Check GmbH. Herr Schmidt ist spezialisiert auf Online-Shop Recht, AGB und rechtssichere Internetseiten. Seit November 2019 ist Herr Schmidt zudem zertifizierter Datenschutzbeauftragter (TÜV Rheinland).

Falls Sie weitere Fragen zur rechtssicheren Gestaltung Ihres Internetauftritts oder Online Shops haben, können Sie uns gerne kontaktieren. Unsere Website-Check Pakete enthalten neben der rechtlichen Prüfung auch die Erstellung der relevanten Rechtstexte. Fordern Sie Ihre kostenlose Ersteinschätzung an!